Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Заблокированы сайты антивирусов (http://forum.oszone.net/showthread.php?t=164605)

Yar111 25-01-2010 15:57 1329460
Заблокированы сайты антивирусов
 
Вложений: 1
Всем привет,попался в руки зараженный компьютер с вирусом internet security(вылазило окно как вот тут на скринах [ссылка ),убрано все дело было с помощю универсального ключа найденного на одном из сайтов,далее было решено прогнать систему антивирусом NOD,но при попытках обновить его ничего не вышло,тоже самое происходит с сайтами других известных антивирусных продуктов,к ним нет доступа.Вообщем систему прогнал вирем со старыми базами(не помогло),AVZ4(не помогло),KilerKido(не помогло),так же на систему были установлены 3 заплаты от Microsoft(WindowsXP-KB958644-x86-RUS,WindowsXP-KB957097-x86-RUS,WindowsXP-KB958687-x86-RUS)-эфекта 0,доступа к сайтам не появилось!При попытке проверить содержимое файла hosts,файл в системе небыл найден!Прошу помощи,что посоветуете сделать дальше!

Yar111 25-01-2010 16:19 1329475
Ребята,я извиняюсь,но не удержался и выполнил первый скрипт из этой темы http://forum.oszone.net/thread-164363.html ,скрипт помог,на сайты антивирусов захожу....вообщем все же буду признателен если кто нить глянет логи,может будет нужно выполнить что-то еще....или нужны будут свежие логи посли выполненого скрипта?!))

ТроПа 25-01-2010 16:25 1329480
1Пофиксить в HijackThis следующие строчки
Код:
        F2 - REG:system.ini: Shell=explorer.exe rundll32.exe

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
BC_ImportAll;
ExecuteRepair(20 );
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

Повторите логи.

Конечно скрипт для АВЗ практически ваш, но нужно в HijackThis пофиксить строку, которую я указал и его лог повторить для контроля удаления.

Drongo 25-01-2010 16:38 1329492
Цитата:
Цитата Yar111
Ребята,я извиняюсь,но не удержался и выполнил первый скрипт из этой темы »
Так нельзя, каждый случай индивидуален, то что вам это помогло, считайте исключением, а не правилом. И больше так не делайте, можете положить систему.

Yar111 25-01-2010 16:47 1329500
Цитата:
Цитата Drongo
Так нельзя, каждый случай индивидуален, то что вам это помогло, считайте исключением, а не правилом. И больше так не делайте, можете положить систему. »
Да,точно,но я уже извинился....спасибо за совет:).Уважаемые,а каким образом отправить письмо на newvirus@kaspersky.com ,я в смысле какие существуют правила для отправления,название темы и т.п?

iskander-k 25-01-2010 16:51 1329502
Цитата:
Цитата Yar111
Уважаемые,а каким образом отправить письмо на newvirus@kaspersky.com ,я в смысле какие существуют правила для отправления,название темы и т.п? »
Просто отправляете и в теле письма помечаете вирус если имеется пароль, то и его сообщаете. и всё больше ничего не надо.

Yar111 25-01-2010 16:58 1329507
iskander-k Сколько можно-то по одному и тому же?
Цитата:
Цитата iskander-k
Так как это может привести к непоправимым последствиям для вашей системы. »
ну так в том то и дело что система моя,и если что решать проблеммы с ней буду я....да и дело-то сделано,впредь будем знать,да и времени особо прочитать все правила небыло,по этому что то в торопях упустил,извиняйте еще раз....ответи ли бы лучше как письмо с архивом "карантин" отправить,там тоже правила какие есть?(

Цитата:
Цитата iskander-k
Просто отправляете и в теле письма помечаете вирус если имеется пароль, то и его сообщаете. и всё больше ничего не надо. »
СПАСИБО!!!!:)

Drongo 25-01-2010 17:04 1329513
Yar111, Раз вопрос решён, отмечайте его решённым - Отметить решенной

Yar111 25-01-2010 17:10 1329517
Drongo Ну так может все же стоит дождаться ответа от newvirus@kaspersky.com да логи свежие сюда прикрепить,а там и отметим что вопрос решен?...)))

Yar111 25-01-2010 17:36 1329541
Вложений: 1
Ребята,прекрепляю последние логи,не знаю на сколько оперативно отвечают на почту по адресу newvirus@kaspersky.com ,но ответа пока не получил,бум ждать....

Drongo 25-01-2010 17:45 1329547
Цитата:
Цитата Yar111
может все же стоит дождаться ответа от newvirus@kaspersky.com »
Конечно, тогда можете поднять свою тему и добавить полученый ответ. Отвечают в течении суток.

Жаль что вы не выполнили скрипт wise-wistful'a...

Предварительные рекомендации перед лечением:

Отключите интернет и локальную сеть если таковая имеется.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Как это сделать, подробно можно прочитать в этой теме.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.

Yar111 25-01-2010 17:51 1329553
Цитата:
Цитата Drongo
Жаль что вы не выполнили скрипт wise-wistful'a... »
Как же так,его я выполнил сразу после публикации wise-wistful'a,по его рекомендации отправил полученный архив quarantine,вот жду ответа....правда смотрю скрипт wise-wistful'a отличается от вашего...так что теперь делать....по-новой прогонять скрипты из вашего поста?

Drongo 25-01-2010 18:01 1329566
Yar111, Возможно я ошибся, может быть вы не фиксили? Потому что вот эта строка
Код:
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe
присутствует в обеих логах HJT.

Цитата:
Цитата Yar111
по-новой прогонять скрипты из вашего поста? »
Конечно, ничего страшного не произойдёт, правда карантин можно не делать. Свой коммент я подправил.

Yar111 25-01-2010 18:34 1329604
Вложений: 1
Цитата:
Цитата Drongo
Возможно я ошибся, может быть вы не фиксили? »
Вы правы,фикс упустил,вот вроде пофиксил и заново прогнал стандартные скрипты по сбору информации,файлы добавил во вложения...каковы мои дальнейшие действия?

Drongo 25-01-2010 18:37 1329609
Цитата:
Цитата Yar111
каковы мои дальнейшие действия? »
А жалобы какие ещё есть? Теперь логи чистые. :)

Yar111 25-01-2010 18:43 1329615
Цитата:
Цитата Drongo
А жалобы какие ещё есть? Теперь логи чистые »
Да нет,жалоб больше нет,СПАСИБО всем кто откликнулся!!!!:)На всякий случай тему подниму когда получу ответ от newvirus@kaspersky.com,ну а в целом проблема решена,еще раз всем СПАСИБО!!!!


Время: 13:20.

Время: 13:20.
© OSzone.net 2001-