Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Заблокированы сайты всех антивирусов. (http://forum.oszone.net/showthread.php?t=164448)

El Caballero 23-01-2010 19:24 1327951
Заблокированы сайты всех антивирусов.
 
Здравствуйте! Недавно заразился вирусом.
Началось все с запуска установки майскрософт оффиса при запуске системы. При очередном сносе процесса установки вылетела ошибка "Невозможно запустить jyky.fjo" - это был один из его файлов, который я вручную нашел и удалил. Так же антивирус нашел еще 3 - 4 файла в system32 и удалил их. Стоит антивирус Аваст - профессионал едитион. В хостах так же нашел кучу строк с адресами всех антивирусных сайтов, удалил. Но это не помогло. Сканил систему KidoKiller'ом - не помогло. Чистил реестр CCleaner'ом - не помогло. Что еще можно предпринять кроме переустановки винды?

CrOsP 23-01-2010 19:53 1327971
Для начало вам надо проверить антивирусником помощнее , по типу Касперского и нода , но я лучше бы посоветовал касперского , запустить проверку руткитов и полное сканирования ПК , если не поможет , воспользуйтесь антивирусом AVG , он может помочь , но для начало посоветую каспера.

Drongo 23-01-2010 20:32 1328002
Цитата:
Цитата El Caballero
Что еще можно предпринять кроме переустановки винды? »
Выполните рекомендации и прикрепите к следующему сообщению полученные логи.

El Caballero 23-01-2010 22:21 1328094
Цитата:
2. Скачайте AVZ и HijackThis и распакуйте архивы avz4.zip и HiJackThis.zip в отдельные папки.
У меня не открываются эти ссылки, что даны в рекомендациях. Можно альтернативный источник?

El Caballero 23-01-2010 23:17 1328140
Скачал всетаки эти программы, сделал все по инструкции. Сайты антивирусов всеравно не открываются. Вот файлы.

El Caballero 23-01-2010 23:21 1328144
Ах да, др. вебом нашел какие то 5 троянов, AVZ вроде тоже штуки 4 нашел, но сайты как не открывались - так и не открываются.

El Caballero 24-01-2010 13:31 1328429
Еще сделал логи комбофиксом по совету из другой темы...

Drongo 24-01-2010 15:52 1328558
El Caballero, Вот такие рекомендации получились. :)


Предварительные рекомендации перед лечением:

Отключите интернет и локальную сеть если таковая имеется.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Как это сделать, подробно можно прочитать в этой теме.


HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - (no file)
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ExecuteRepair(1);
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56943:TCP"=-

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Повторите логи и что с проблемой? Логи сделайте Полиморфной версией AVZ. У вас старая и базы не обновлены
Код:
База поcледний раз обновлялась 21.08.2009

El Caballero 24-01-2010 17:12 1328629
Я не могу обновить AVZ, т.к. у меня заблокирован сайт, с которого он обновляется. Как мне его обновить каким либо другим способом?

Drongo 24-01-2010 18:18 1328686
El Caballero, Я вам её обновил и прикрепил в архиве, как скачаете, напишите, архив удалю, так как он ~5.5 МБ.

Скрипты выполняли, проблема я так понял, осталась?

El Caballero 24-01-2010 19:07 1328728
Выполнял все, что написано тут http://www.forum.oszone.net/post-717373.html#post717373 - не помогло. Сейчас попробую это сделать заново с обновленным AVZ, и выполню то что вы сейчас написали.
Архив можете удалять - скачал.

El Caballero 24-01-2010 21:28 1328842
Цитата:
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:
begin
 ExecuteRepair(1);
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения этого шага все исправилось, теперь нормально заходит на сайты антивирусов.
Вот логи AVZ с новыми базами.

Можно узнать, что это был за вирус и как он действовал?

Drongo 24-01-2010 22:00 1328859
Цитата:
Цитата El Caballero
Можно узнать, что это был за вирус и как он действовал? »
Скорее всего помогла команда восстановления ExecuteRepair(20), просто эта команда появилась сравнительно недавно, буквально на днях, а старая версия AVZ её не имеет, но ту что я вам дал, там эта возможность уже присутствует. Вот и сработал скрипт. Это ещё один аргумент, чтобы пользоваться последними версиями программ в лечении. :)
Цитата:
Цитата Зайцев Олег
В AVZ появилась новая фича - восстановление системы может вычищать статические маршруты (делая их бекап на всякий случай), а встроенное в AVZ средство резервного копирования - создавать резервную копию статических настроек. Необходимо это на случай, если зловред создает посторонние статические маршруты для блокировки антивирусных сайтов. Применять это следует по необходимости, скоро появится визард, который будет удалять явно зловредные маршруты в автоматическом режиме. Функционал появится в AVZ после обновления баз ...
По логам вредного ничего не вижу.

Хотел бы глянуть эту ветку реестра у вас
Цитата:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy
Можете сделать так. Перейти в реестр, правой кнопкой щёлкнуть по пункту FirewallPolicy - экспортировать и сохранить куда-нибудь, откртыть сохранённый .reg файл в блокноте и скопировать сюда, оформив тегом код - #

El Caballero 25-01-2010 00:03 1328943
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DisableNotifications"=dword:00000000
"DoNotAllowExceptions"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Program Files\\uTorrent_1.6.1\\utorrent.exe"="D:\\Program Files\\uTorrent_1.6.1\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Opera\\opera.exe"="C:\\Program Files\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"
"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"="C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008"
"3389:TCP"="3389:TCP:*:Enabled:@xpsp2res.dll,-22009"
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"
"56943:TCP"="56943:TCP"
"5985:TCP"="5985:TCP:*:Disabled:Удаленное управление Windows "

Drongo 25-01-2010 12:52 1329291
El Caballero, Благодарю. :up:


Время: 14:58.

Время: 14:58.
© OSzone.net 2001-