Вирус блокирующий доступ в локальную сеть

Обновлено: 17.04.2024

Конфигурация компьютера
Процессор: Intel Pentium 4 Socket 478 2.26 Ghz/512/533 BOX
Материнская плата: ABIT IS7-E2 i865PE+ICH5, S-478 VC 6ch SB Lan ATX 2 DDR 400
Память: PQI DDR 512 Mb, 400 Mhz
HDD: SAMSUNG HD103SJ (1000 Гб, SATA)
Видеокарта: AGP ATI Radeon X1550 256/128 DDR2 (Palit)
Звук: Интегрированный звук
Блок питания: ATX Midle Tower CODEGEN 6205-C9 P4, 300W, 27 Ноября 2004 г.
CD/DVD: LG DVD-RW, GSA-H30N RBBB (SATA)
Монитор: Samsung SyncMaster 223BW(Digital) [NoDB] (HMEQ201792) [21.6" LCD-TFT Монитор]
ОС: Windows XP Professional (SP-3) Russian. Special Edition XP
Прочее: Borland C++ Builder 6.0 Enterprise Suite и CodeGear C++ Builder 2009

seman, Здравствуйте.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создание новой точки восстановления: Нажмите Пуск =>Программы =>Стандартные =>Служебные =>Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистка всех предыдущих точек восстановления: Нажмите Пуск =>Программы =>Стандартные =>Служебные =>Очистка диска, выберите системный диск, на вкладке Дополнительно =>Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Повторите логи и что с проблемой?

Последний раз редактировалось Drongo, 12-01-2010 в 23:17 . Причина: Удалена строка по просьбе автора логов.

Вирус который блокирует доступ к Компьютеру из локальной сети [not-a-virus:RiskTool.Win32.BitCoinMiner.idyc ]

Есть сеть, без домена, на ней N кол-во компов и 1 из этих компов (Server Win 2003) на котором база Консультант+ и еще одна Программка для работы по Передаче Документов, выпадает из сети. Он всех видит и все открывает, а на него нет доступа. На сервере стоит Доктор веб, при сканировании им ругается на 2 файла при их лечении выходит ошибка лечения удалить их не получается и переместить тоже они висят в папке корня диска "C" с цифирным названием, проверки AVZ не чего не показывают. На остальных машинах стоит KES10(Kaspersky Endpoint Security) и KWS6(Kaspersky Work Station)
Также заметил что в Назначенных заданиях появляется 3 левых задания Mysa1, Mysa2 и ok
Дополнение, на сервере есть центр сертификации его терять нельзя

Уважаемый(ая) VasSursk, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

Антивирусная помощь

Обновление включено, все вроде установлено, а вот про др компы в сети на всех XP что через автообновление все установлено

Виря вроде я заблочил, выполнение задания проходят с ошибкой, я удалил фаилы на которые они ссылаются. а задание периодически появляется и доступ к компу не восстановился хотя инет с Него раздает

Антивирусная помощь

Еще дополнение, на всех компах сети пропала локалка, нету отображения рабочей группы и компов в ней, но пинги все идут.
Также все по линкам открывает, кроме зловредного Сервера.

Да патч установил

После перезапуска служб на сервере, появилась локалка у остальных пользователей, но сам сервер так и не доступен

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Конфигурация компьютера
Процессор: Intel Pentium 4 Socket 478 2.26 Ghz/512/533 BOX
Материнская плата: ABIT IS7-E2 i865PE+ICH5, S-478 VC 6ch SB Lan ATX 2 DDR 400
Память: PQI DDR 512 Mb, 400 Mhz
HDD: SAMSUNG HD103SJ (1000 Гб, SATA)
Видеокарта: AGP ATI Radeon X1550 256/128 DDR2 (Palit)
Звук: Интегрированный звук
Блок питания: ATX Midle Tower CODEGEN 6205-C9 P4, 300W, 27 Ноября 2004 г.
CD/DVD: LG DVD-RW, GSA-H30N RBBB (SATA)
Монитор: Samsung SyncMaster 223BW(Digital) [NoDB] (HMEQ201792) [21.6" LCD-TFT Монитор]
ОС: Windows XP Professional (SP-3) Russian. Special Edition XP
Прочее: Borland C++ Builder 6.0 Enterprise Suite и CodeGear C++ Builder 2009

seman, Здравствуйте.

Создание новой точки восстановления: Нажмите Пуск =>Программы =>Стандартные =>Служебные =>Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистка всех предыдущих точек восстановления: Нажмите Пуск =>Программы =>Стандартные =>Служебные =>Очистка диска, выберите системный диск, на вкладке Дополнительно =>Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

Повторите логи и что с проблемой?

Последний раз редактировалось Drongo, 12-01-2010 в 23:17 . Причина: Удалена строка по просьбе автора логов.

Цитата
Igor-USSR пишет: Как бороться с сетевым червем Net-Worm.Win32.Kido Все 3 указанные там заплатки стоит поставить в любом случае.

Служба IPsec впорядке? если она остановленна с режимом запуска "авто" - отлюкчите или назначьте "вручную".

AVZ c virusinfo, устанавливаем драйвер расширенного мониторинга, перегружаемся в безопасный, чистим систему на максимальном уровне эвристики с включенным противодействием всем подряд руткитам. Когда у меня такая фигня была, покоцало системные файлы svchost.exe и еще пару dll'ек, каких - не вспомню, был WinXP SP2, тупо распаковал sp2.cab в System32, потом обновился до sp3. Естественно после чистки системы.

Цитата
Алекс М пишет: Служба IPsec впорядке? если она остановленна с режимом запуска "авто" - отлюкчите или назначьте "вручную".

Чтобы комп виделся в сетевом окружении в одноранговой сети, должны быть запущена служба "Сервер" и "TCP/IP-Netbios Helper" (модуль поддержки NetBios через TCP/IP), а также "Служба доступа к файлам и принтерам" в свойствах сетевой платы, ну и, естественно, "Клиент для сетей Мелкософт"
А для проверки, расшарены ли ресурсы - Пуск-Выполнить-"\\ip-адрес компа", на котором есть расшаренные ресурсы. (без кавычек, ессн-но).
Ну и проверяй доступность 137-139 и 445 портов. Кстати, 445 порт очень любят использовать вирусы для распространения по локалке.
а IPSEc здесь как-то не причем.

Цитата
Moriarti Fon Braun пишет: что-то не вижу службу такую

а ты попробуй его сломай.
к примеру перемести файл C:\WINDOWS\system32\lsass.exe куда-нибудь из деректории system32.
Перезагрузись, и попробуй зайти через шару на свой компьютер.

На свой комп я и с ipsec не зайду, нет у меня шар, все ненужные мне службы типа сервер, нетбиос и иже с ними удалены.

Мне вот тоже интересно - чем же это может быть так важна службы IPSec - если я не использую этот набор протоколов? В случае использования IPv6 он является неотъемлемой частью протокола, но для IPv4 - он всего лишь необязательное расширение.

Цитата
SOLDIER пишет: если я не использую этот набор протоколов?

я вот тоже явно не использую. но у меня в сервисах есть и работает в автоматическом режиме.
наверное для других служб.

П.С.: у меня рабочая станция - Windows Server 2003 SE SP2.

Может таки зря работает? Вот объясни мне, линуксовому админу - почему у тебя в Виндах работает служба, которая тебе на фиг не нужна. Вот не понимаю я этого. Тут ведь прямой путь к подписи нашего "великого и ужасного гуру" Доминатора! Ведь действительно - МАСТ! И более того - ДАЙ!
А по сути - объясни мне опять же, как Линуксовому админу суть своей фразы.

Цитата
Алекс М пишет: должна быть. посмотрите получше, пожалуйста. Эта служба очень важна.

Так ЧЕМ она так важна всё-таки? Я вроде в сетевых протоколах достаточно хорошо разбираюсь, но необходимости службы (более того - важности), которая не используется - ну никак не улавливаю.

Цитата
xandersh пишет: Ну и проверяй доступность 137-139 и 445 портов. Кстати, 445 порт очень любят использовать вирусы для распространения по локалке.

извини я немного чайник, как можно порты проверить? ч
Вообще люди..что отвечает за доступность компа по сетеке. просто пингуется, сетевая ася пашет, другие компьютеры через зараженый комп видит..в сетевом окружении отображается. в чем понт не пойму. уже форумов пять не могут помочь.

вот странное что-то в портах.
1184 TIME_WAIT 192.168.1.35 139 [0]
1185 TIME_WAIT 192.168.1.35 445 [0]
1187 TIME_WAIT 127.0.0.1 30606 [0]
1189 TIME_WAIT 192.168.1.33 445 [0]
1190 TIME_WAIT 192.168.1.202 445 [0]
1193 TIME_WAIT 192.168.1.22 139 [0]
1194 TIME_WAIT 192.168.1.23 445 [0]
1197 TIME_WAIT 192.168.1.24 139 [0]
1199 TIME_WAIT 192.168.1.51 139 [0]
1201 TIME_WAIT 192.168.1.26 139 [0]
1203 TIME_WAIT 192.168.1.103 139 [0]
1205 TIME_WAIT 192.168.1.34 139 [0]
1207 TIME_WAIT 192.168.1.101 139 [0]
1209 TIME_WAIT 192.168.1.104 139 [0]
1211 TIME_WAIT 192.168.1.105 139 [0]
1213 TIME_WAIT 192.168.1.106 139 [0]
1215 TIME_WAIT 192.168.1.109 139 [0]
1217 ESTABLISHED 192.168.1.6 139 [4] System
5152 LISTENING 0.0.0.0 16506 [1304] c:\program files\java\jre6\bin\jqs.exe
30007 LISTENING 0.0.0.0 6311 [1060] c:\program files\netwriter\netwriter.exe
30606 LISTENING 0.0.0.0 26782 [1184] c:\program files\eset\eset nod32 antivirus\ekrn.exe
30606 TIME_WAIT 127.0.0.1 1218 [0]
30606 TIME_WAIT 127.0.0.1 1220 [0]

Читайте также: