Выкидывает из интернета. Прикрепляю файлы.

[ekatkol]

Windows пришлось переустановить (лицензионный XP англ.версия) на прошлой неделе, компьютер после был просканирован несколькими известными антивирусами, но проблема не исчезла. Вот она:

Подключаюсь к интернету (провайдер lanck), через секунд 15 перестают грузиться страницы, потом и вовсе отсоединяется подключение. К провайдеру претензий нет, другой комп работает хорошо.

В чем ошибка, уже голову сломала... помогите :D

Может это не вирус, а сетевая плата полетела?

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

E - это флэшка?

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('E:\autorun.wsh');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Сделать новые логи полиморфным AVZ из моей подписи

[ekatkol]

E - это флэшка?

Выполните скрипт в AVZ

 beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('E:\autorun.wsh');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Сделать новые логи полиморфным AVZ из моей подписи

Да, Е: это флэшка

Все сделала как написали, только файл info не обновился

Спасибо

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[thyrex]

Проблема по-прежнему актуальна?

[ekatkol]

Проблема по-прежнему актуальна?

К сожалению .. да

[Pili]

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Скачайте gmer со случайным именем файла(рекомендуется) здесь, либо gmer.zip здесь или здесь, закройте все остальные программы и отключите антивирусное ПО (включите брандмауэр windows или отключите компьютер от локальной сети), запустите программу (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора).

Внимание, если при запуске gmer выйдет окно предупреждающее об обнаружении ROOTKIT activity, нажмите No и в правой панели уберите значки напротив следующих пунктов

• Sections

• IAT/EAT

• Drives/Partition

• Show all

Нажмите на кнопку Scan, если выйдет предупреждающее окно, нажмите Ok. После окончания проверки сохраните лог (нажмите на кнопку Save) и вложите в сообщение.

А вообще у вас ошибки в журнале событий

Event Code: 2504

Message: The server could not bind to the transport \Device\NetBT_Tcpip_{C1983C8A-1C5C-46B3-B688-29D7080E6ED2}.

Event Code: 1005

Message: Your computer has detected that the IP address 192.168.10.103 for the Network Card

with network address 001060D3042B is already in use on the network.

Your computer will automatically attempt to obtain a different address.

Возможно ваши проблемы связаны с этими ошибками, а не с вирусами.

Изменено 19 мая, 2009 пользователем Pili

[ekatkol]

Даже не знаю что лучше..

Спасибо за подробную инструкцию, все выполнила.

ComboFix.txt

gmer.log

mbam_log_2009_05_19__18_57_15_.txt

ComboFix.txt

gmer.log

mbam_log_2009_05_19__18_57_15_.txt

[ekatkol]

Интернет так же не работает, 3 страницы загружает, перестает дальше грузить, и еще через 30 сек отключатся совсем

[Yezhishe]

Event Code: 1005

Message: Your computer has detected that the IP address 192.168.10.103 for the Network Card

with network address 001060D3042B is already in use on the network.

Your computer will automatically attempt to obtain a different address.

"Ваш компьютер обнаружил, что IP-адрес ~~~~ Сетевой Карты с (судя по всему) МАС-адресом ~~~~~~ уже используется в сети".

Вероятнее всего - это конфликт IP-адресов с какой-то другой машиной в локальной сети (провайдера, видимо), но сильно подозрительно упоминание MAC-адреса...

Изменено 19 мая, 2009 пользователем Yezhishe

[Pili]

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файл:

c:\windows\kb913800.exe 

Результаты проверки выложите в сообщение или дайте на них ссылку.

Попробуйте для проверки деинсталлировать Spyware Doctor 6.0 и включить брандмауэр windows, по логам больше ничего плохого,

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите CleanUp!

Проверку с помощью CureIT и AVPTool надеюсь уже проводили.

Попробуйте ещё воспользоваться утилитой WinsockFix, предварительно перед применением запишите настройки подключения tcp/ip.

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

По проблеме конфликта ip адресов - к провайдеру. Если после применения WinsockFix и установки SP3 проблема останется, можно будет продолжить проверку на вирусы другими утилитами.

[ekatkol]

Значит если это конфликт IP, то сетевую карту менять не надо, и этот вопрос должен разрешить провайдер?

[Pili]

Где рез-ты проверки c:\windows\kb913800.exe? WinsockFix применяли? SP3 установили?

При смене сетевой карты сменится и mac адрес, но его можно поменять и не меняя сетевую карту. Если ip адрес привязан с mac адресу, то возможно правильный ip адрес вы не сможете получить после смены mac адреса. Не исключено, что в вашей сети кто-то балуется ARP-spoofing`ом. Вы к провайдеру обращались?

[ekatkol]

Где рез-ты проверки c:\windows\kb913800.exe? WinsockFix применяли? SP3 установили?

При смене сетевой карты сменится и mac адрес, но его можно поменять и не меняя сетевую карту. Если ip адрес привязан с mac адресу, то возможно правильный ip адрес вы не сможете получить после смены mac адреса. Не исключено, что в вашей сети кто-то балуется ARP-spoofing`ом. Вы к провайдеру обращались?

Да, обращалась к провайдеру, но пока ответа не получила

Вот результаты проверки.

http://virscan.org/

Scanner results : All Scanners reported not find malware!

Time : 2009/05/21 07:52:29 (MSD)

File Name : kb913800.exe

File Size : 23040 byte

File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 : 1ff4dd88dc020f5d57ed69f6e25bb3de

SHA1 : 23edce14086b0ce15371e6ea8f1346ea8cf13aa7

http://www.virustotal.com/ru/

Результат: 1/40 (2.5%)

eSafe 7.0.17.0 2009.05.19 Win32.Banker

и

Дополнительная информация

File size: 23040 bytes

MD5...: 1ff4dd88dc020f5d57ed69f6e25bb3de

SHA1..: 23edce14086b0ce15371e6ea8f1346ea8cf13aa7

SHA256: fdc4e74236595b16d39bcbea3230b0e35adb7d70fa80a5e6bff7b71579fe995c

SHA512: 664a60f666b1725f82aca694c205975e70b51689c260f1b53ed7e8fed99ab09a

5bb3b193fa224789ee243ba5c7a3f8a79e6bf6142b489d6c75973d7871e09c0e

ssdeep: 384:w+a6lJrTlWdmfitjM7aSKFJaM9v4cla4w7bT3hHsZvVGO10YuOTgsJirhW4D

W:w+a6lJrgdhG7gJ4cIbrhMV74U3Up

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x3ff4

timedatestamp.....: 0x441f719f (Tue Mar 21 03:23:11 2006)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x4f94 0x5000 6.29 758f07d9a0d6939f28296cecd1100fbb

.data 0x6000 0xf8 0x200 2.15 ee2a8c8de030d519e459a8bfafc8c87c

.rsrc 0x7000 0x3d8 0x400 3.27 9a177927cf938f80dbc88e72e9fd7475

( 5 imports )

> KERNEL32.dll: GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentThreadId, UnhandledExceptionFilter, SetUnhandledExceptionFilter, QueryPerformanceCounter, HeapAlloc, GetProcessHeap, HeapFree, CreateFileW, SetFilePointer, ReadFile, WriteFile, UnlockFile, CloseHandle, LockFileEx, LoadLibraryW, GetProcAddress, GetTickCount, Sleep, GetCurrentProcess, GetModuleHandleW, DeleteFileA, GetFileAttributesA, LocalFree, GetLastError, GetFileAttributesW, SetFileAttributesW, FindClose, RemoveDirectoryW, FindNextFileW, DeleteFileW, FindFirstFileW, GetModuleHandleA, GetStartupInfoW, GetCommandLineW, ExitProcess, CreateFileA, WideCharToMultiByte, GetVersionExW, GetTimeFormatA, GetDateFormatA, LoadLibraryA, FreeLibrary

> msvcrt.dll: _cexit, _initterm, __set_app_type, _vsnwprintf, wcsncmp, _wcsnicmp, _vsnprintf, wcslen, wcsstr

> ADVAPI32.dll: RegQueryInfoKeyW, SetNamedSecurityInfoW, GetSecurityDescriptorDacl, RegDeleteValueW, RegQueryValueExA, RegQueryValueExW, RegSetValueExW, RegOpenKeyExA, RegOpenKeyExW, RegCloseKey, RegDeleteValueA, RegEnumValueA, ConvertStringSecurityDescriptorToSecurityDescriptorW

> ole32.dll: CoInitialize, CoUninitialize, CoTaskMemFree

> OLEAUT32.dll: -, -

( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

[ekatkol]

Все сделала как сказали, кроме установки SP3.

Интернет не работает. я за 15 сек. не успеваю найти ссылку на нужный пакет.

Пока проблема осталась, жду звонка провайдера. А можно как-то проверить, привязан ли этот IP к MAC адресу?

Боюсь они мне скажут - меняйте сетевую карту, уже ни раз слышала от них эту фразу, не разобравшись

Спасибо вам.

[Yezhishe]

А можно как-то проверить, привязан ли этот IP к MAC адресу?

Теоретически, любой более или менее нормальный провайдер привязывает аккаунт клиента к MAC-адресу клиентского компьютера. Упоминание об этом (опять же, если провайдер - нормальный) обязательно есть в договоре на оказание Услуги доступа в Интернет.

P.S. Если предложат поменять сетевую... Можно, конечно, в обратку потребовать, чтобы они сами разобрались в том, что происходит в их сетке - в конце концов - это их работа. Будут продолжать - "Не вопрос! Привозите - поменяю. Привозите либо сетевую, либо материнку( :) )", поскольку подозреваю, что у Вас сетевая - встроенная. И посему, ежели это в общем-то проблема провайдера, то не вижу особого смысла тратить собственные деньги для решения проблем провайдера.

Изменено 21 мая, 2009 пользователем Yezhishe

[Pili]

А можно как-то проверить, привязан ли этот IP к MAC адресу?

Привязку может осуществлять провайдер.

Со своей стороны вы можете прописать mac адрес шлюза

пуск - выполнить - cmd

ping ip_addr_шлюза

arp -a

arp -s ip_addr_шлюза mac адрес шлюза

подробнее см. arp /?

Попробуйте ещё удалить (отключить) все остальные сетевые устройства в системе, если они есть.

WinsockFix применяли? Можете ещё попробовать выполнить (пуск - выполнить)

netsh int ip reset iplog.txtipconfig /releaseipconfig /flushdnsipconfig /renew

Попробуйте настроить свойства tcp/ip не на автоматическое получение ip адреса, а вписать туда настройки вручную, взяв данные из ipconfig /all

И ещё, давайте попробуем сделать логи другой версией AVZ.

Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. Обновлять антивирусные базы для этой версии не требуется. Сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

[ekatkol]

Очень всех благодарю, просто безмерно благодарна!!!! :)

Обратилась к провайдерупо поводу конфликта IP и MAC адреса, оказалось, они не делают привязки. взяли MAC со второго компьютера, и все заработало!

Теперь надо ставить роутер, чтобы можно было одновременно подключаться. УРА! Спасибо участникам форума :)

[Pili]

ekatkol: Поздравляю с успешным решением проблемы :blink: SP3 и все обновления все же рекомендую поставить.

Проблема была не в вирусах, но если будут проблемы с вирусами, обращайтесь )