[решено] Не заходит на макрософтские и антивирусные сайты !

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не заходит на макрософтские и антивирусные сайты !

здраствуте не заходит на майкрософтские сайты и на антивирусные сайты но я скачал все программы и не пойму что мне надо делать с начала ( проверил на AVZ нашол файл в Windows\system 32\>>>>>>> Net-worm.win32.kido.ih) что делать дальше подскажите пожалуйста

Прочтите правила как можно внимательнее и прикрепите файл hijackthis.zip и файлы virusinfo_syscure.zip и virusinfo_syscheck.zip из каталога AVZ\LOG

Выполните дополнительно
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и прикрепите к сообщению.

прикрепил два файла один hijackthis а второй из проверки AVZ, при попытке сканирования программы GMER компьютер зависает

Нужны

Цитата:

Цитата thyrex

файлы virusinfo_syscure.zip и virusinfo_syscheck.zip »

Пофиксите в HiJack

Код:

R3 - URLSearchHook: (no name) -  - (no file)

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe cagj.mmo jrffo

F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\peJiMCx.exe,D:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\YHjGpES.exe,\\?\globalroot\systemroot\system32\rfkOzRq.exe,\\?\globalroot\systemroot\system32\2X0L0Cm.exe,

O2 - BHO: MS Media Module - {95DCAFE6-7DAC-D3F8-F793-4A6F2121AF0B} - %SYSTEMDRIVE%\aiK0e7FubY6gs.dll (file missing)

Перезагрузитесь и сделайте новый лог HiJack

У вас кидо открытым текстом

Цитата:

>>> Подозрение на маскировку ключа реестра службы\драйвера "bhwbenh"

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

вот нашол все зделал а вы оперативно работаете извините что так долго помогал удалять банер

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe (gmer)

Код:

gmer.exe -del service bhwbenh

gmer.exe -del file "D:\WINDOWS\system32\ihkoshx.dll"

gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bhwbenh"

gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bhwbenh"

gmer.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

перезагрузился сделал новый лог включил интернет зашол в браузер браузер не загрузился все зависло появился синий экран с иероглифами пришлось нажать ресет кидаю лог и делаю ещё раз

зделал еще один лог ничего не обнаружил

Этот лог в порядке

Теперь предоставьте новые логи HiJack, virusinfo_syscheck.zip, virusinfo_syscure.zip

перезагрузился вылезла ошибка NT authority с кодом ошибки 1073741819

первый файл до перезагрузки второй после перезагрузки

все зделал но почемуто первый файл не получился virusinfo_syscure.zip а второй получился

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 SearchRootkit(true, true);

 SetAVZGuardStatus(true);

 ClearHostsFile;

 DeleteFile('D:\aiK0e7FubY6gs.dll');

 DelBHO('{95DCAFE6-7DAC-D3F8-F793-4A6F2121AF0B}');

 BC_ImportALL;

 ExecuteSysClean;

 BC_Activate;

 RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Попробуйте обновить базы AVZ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin

 SetAVZPMStatus(true);

 RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

после первого скрипта вылезла ошибка NT authority с кодом 1073741819 иду на второй скрипт

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\peJiMCx.exe,D:\WINDOWS\system32\services.exe,\\?\globalroot\systemroot\system32\YHjGpES.exe,\\?\globalroot\systemroot\system32\rfkOzRq.exe,\\?\globalroot\systemroot\system32\2X0L0Cm.exe,

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('\\?\globalroot\systemroot\system32\rfkOzRq.exe','');

 QuarantineFile('\\?\globalroot\systemroot\system32\peJiMCx.exe','');

 QuarantineFile('\\?\globalroot\systemroot\system32\YHjGpES.exe','');

 QuarantineFile('\\?\globalroot\systemroot\system32\2X0L0Cm.exe','');

 QuarantineFile('D:\WINDOWS\System32\netprotocol.dll','');

 QuarantineFile('D:\Program Files\plugin.exe','');

 DeleteFile('D:\Program Files\plugin.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');

 DeleteFile('D:\WINDOWS\System32\netprotocol.dll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Netprotocol\Parameters','ServiceDll');

 DeleteFile('\\?\globalroot\systemroot\system32\2X0L0Cm.exe');

 DeleteFile('\\?\globalroot\systemroot\system32\YHjGpES.exe');

 DeleteFile('\\?\globalroot\systemroot\system32\peJiMCx.exe');

 DeleteFile('\\?\globalroot\systemroot\system32\rfkOzRq.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(13);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

2X0L0Cm.exe - Trojan-Dropper.Win32.Agent.bmdn
netprotocol.dll - Trojan-Downloader.Win32.Piker.bvz
peJiMCx.exe - Trojan.Win32.Qhost.mnm
rfkOzRq.exe - Trojan.Win32.Agent.dhhx
YHjGpES.exe - Trojan.Win32.Qhost.mna

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini,
CSManager.exe

Файлы в процессе обработки.

wmenc.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

логи готовы

Garrick, здравствуйте.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

ClearHostsFile;

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\burnlib.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\enc_vorbis.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_crasher.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ff.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_jumpex.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ml.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_orgler.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_tray.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_cdda.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_dshow.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_flac.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_linein.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_midi.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mod.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mp3.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_vorbis.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wav.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wm.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_autotag.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_dash.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_impex.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_local.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_nowplaying.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_online.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_orb.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_playlists.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_wire.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\out_ds.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_ipod.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_p4s.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_avs.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_milk2.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_nsfs.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winamp.lng','');

QuarantineFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winampa.lng','');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\burnlib.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\enc_vorbis.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_crasher.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ff.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_jumpex.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_ml.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_orgler.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\gen_tray.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_cdda.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_dshow.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_flac.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_linein.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_midi.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mod.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_mp3.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_vorbis.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wav.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\in_wm.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_autotag.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_dash.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_impex.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_local.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_nowplaying.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_online.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_orb.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_playlists.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\ml_wire.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\out_ds.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_ipod.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\pmp_p4s.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_avs.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_milk2.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\vis_nsfs.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winamp.lng');

DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ5EAD.tmp\winampa.lng');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

После этого повторите логи. Проблемы остались?

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

2X0L0Cm.exe - Trojan-Dropper.Win32.Agent.bmdn
netprotocol.dll - Trojan-Downloader.Win32.Piker.bvz
peJiMCx.exe - Trojan.Win32.Qhost.mnm
rfkOzRq.exe - Trojan.Win32.Agent.dhhx
YHjGpES.exe - Trojan.Win32.Qhost.mna

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini,
bcqr00007.ini,
bcqr00008.ini,
bcqr00009.ini,
bcqr00010.ini,
bcqr00011.ini,
bcqr00012.ini,
bcqr00013.ini,
bcqr00014.ini,
bcqr00015.ini,
bcqr00016.ini,
bcqr00017.ini,
bcqr00018.ini,
bcqr00019.ini,
bcqr00020.ini,
bcqr00021.ini,
bcqr00022.ini,
bcqr00023.ini,
bcqr00024.ini,
bcqr00025.ini,
bcqr00026.ini,
bcqr00027.ini,
bcqr00028.ini,
bcqr00029.ini,
bcqr00030.ini,
bcqr00031.ini,
bcqr00032.ini,
bcqr00033.ini,
bcqr00034.ini,
bcqr00035.ini,
bcqr00036.ini,
bcqr00037.ini,
bcqr00038.ini,
bcqr00039.ini,
bcqr00040.ini,
bcqr00041.ini,
bcqr00042.ini,
bcqr00043.ini,
bcqr00044.ini,
bcqr00045.ini,
bcqr00046.ini,
bcqr00047.ini,
bcqr00048.ini,
bcqr00049.ini,
bcqr00050.ini,
bcqr00051.ini,
bcqr00052.ini,
bcqr00053.ini,
bcqr00054.ini,
bcqr00055.ini,
bcqr00056.ini,
bcqr00057.ini,
bcqr00058.ini,
bcqr00059.ini,
bcqr00060.ini,
bcqr00061.ini,
bcqr00062.ini,
bcqr00063.ini,
bcqr00064.ini,
bcqr00065.ini,
bcqr00066.ini,
bcqr00067.ini,
bcqr00068.ini,
bcqr00069.ini,
bcqr00070.ini,
CSManager.exe

Файлы в процессе обработки.

wmenc.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

вот лог файл от Malwarebytes Anti-Malware

Garrick, повторите логи AVZ и HijackThis. Проблемы остались?

в принципе проблем нет щас осталось один лог зделать и все

вот все зделал проблема вроде исчезла

Garrick,

Код:

база от 21.08.2009 14:23

Обновите базы АВЗ и сделайте новые логи.

И поменяйте все ваши пароли.

я не могу зайти на сайт обновления AVZ и сам он не обновляется и я его обновить не могу

Выполните скрипт.

Код:

begin 

ExecuteRepair(13); 

ExecuteRepair(20);  

RebootWindows(true); 

end.

и попробуйте обновиться .

неа всеравно не хочет обновлять

с антивирусными сайтами проблема не решилась а вот с майкрософтовскими решилась

Счас закачаю на депозит АВЗ с новыми базами и выложу ссылку сюда.

Вот avz4-13 02 2010 (в winrar архиве )- базы сегодняшние ,скачайте и сделайте новые логи.

Потом после АВЗ ещё один лог МБАМ сделайте.

скачал делаю

логи зделал но на доктора веба не заходит (

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('D:\System Volume Information\_restore{25F49811-AA35-4DF8-864B-4236C6C681AD}\RP5\A0004046.exe');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(13);

ExecuteRepair(20);

RebootWindows(true);

end.

Компьютер перезагрузится.

Сделайте новые логи AVZ

Если проблема не решилась, придется вручную чистить файл hosts, удаляя записи, относящиеся к защитному софту

логи зделал а как делать вручную ?

Цитата:

Цитата Garrick

логи зделал а как делать вручную ? »

В папке C:\WINDOWS\system32\drivers\etc отккройте КАК ТЕКСТ файл hosts
в нем должна быть только такая запись

Код:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999 

# 

# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows. 

# 

# Этот файл содержит сопоставления IP-адресов именам узлов. 

# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен 

# находиться в первом столбце, за ним должно следовать соответствующее имя. 

# IP-адрес и имя узла должны разделяться хотя бы одним пробелом. 

# 

# Кроме того, в некоторых строках могут быть вставлены комментарии  

# (такие, как эта строка), они должны следовать за именем узла и отделяться 

# от него символом '#'. 

# 

# Например: 

# 

#      102.54.94.97     rhino.acme.com          # исходный сервер #       38.25.63.10     x.acme.com              

# узел клиента x  

127.0.0.1       localhost

Всё остальное можно удалить.

И удалите приблуду для " ВКонтакте"

у меня вот так написано

# Copyright (c) 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.
#

192.168.0.87 Garrick- # 2010 2 0 21 11 41 24 15
192.168.0.98 Garrick- # 2010 2 0 21 11 50 12 656
192.168.0.1 microsof-dec3de.mshome.net # 2015 2 5 13 11 50 12 656

что мне делть то что удалять что оставлять

У Вас система на диске D. Смотреть нужно D:\WINDOWS\system32\drivers\etc

да где я нашол уже давно прям сразу что мне удялть то надо вот что у меня написано я не могу понять что мне надо удалять
# Copyright (c) 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.
#

192.168.0.87 Garrick- # 2010 2 0 21 11 41 24 15
192.168.0.98 Garrick- # 2010 2 0 21 11 50 12 656
192.168.0.1 microsof-dec3de.mshome.net # 2015 2 5 13 11 50 12 656

У вас в файле hosts записи такие

Удалите всё что ниже записи
127.0.0.1 localhost

нет у меня не также
у меня нету надписи 127.0.0.1 localhost

Ну тогда вы даете не свои логи. Так как в логе у вас именно те записи которые я показал.

Почитайте тему про файл hosts (Файл HOSTS не имеет видимого расширения).http://saule.sporaw.ru/library/hosts.html
А у вас он имеет расширение hosts.ics

Для вашего языка системы

Код:

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host



127.0.0.1 localhost

уберите расширение .ics

Посмотрите рядом ещё файлы с названием HOSTS

Пуск - Выполнить - regedit

Проберитесь в ветку

Цитата:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

и посмотрите значение параметра DataBasePath. Какой путь там указан?

все я все убрал он просто был скрытый
что теперь зделать логи ??

Цитата:

Цитата Garrick

что теперь зделать »

Что по вопросу thyrex, ? Вы проверили ?

да все зделал, все файлы из host я удалил, теперь на сайты антивирусов заходит, и Avz обновляет, все работает, логи нао делать ???

Давайте, последний комплект для контроля. :)

вот все зделал надеюсь последний раз

Garrick, надо кое-что почистить:

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\burnlib.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\enc_vorbis.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\gen_crasher.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\gen_ff.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\gen_jumpex.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\gen_ml.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\gen_orgler.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\gen_tray.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_cdda.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_dshow.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_flac.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_linein.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_midi.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_mod.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_mp3.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_vorbis.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_wav.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\in_wm.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_autotag.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_dash.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_impex.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_local.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_nowplaying.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_online.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_orb.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_playlists.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\ml_wire.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\out_ds.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\pmp_ipod.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\pmp_p4s.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\vis_avs.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\vis_milk2.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\vis_nsfs.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\winamp.lng');

 DeleteFile('D:\DOCUME~1\Admin\LOCALS~1\Temp\WLZ75D1.tmp\winampa.lng');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O20 - AppInit_DLLs: D:\WINDOWS\system32\vksaver.dll

После этого повторите опять логи.

Garrick, winamp слушали когда логи делали?

Да winamp слушал но сейчас не могу выполнить скрипт так как вне дома вечером все зделаю

логи готовы

Garrick, по логам чисто ;)

я тему закрываю и ставлю решено?