Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Сайты антивирусов заблокированны! (http://forum.oszone.net/showthread.php?t=170211)

988essence 15-03-2010 12:47 1369068

Сайты антивирусов заблокированны!
 
Здравствуйте.
2-ой раз сталкиваюсь с проблемой, когда антивирус перестаёт обновляться, и как оказывается все сайты антивирусов вообще не открываются.

Знаю, что такая тема уже есть, но хотел бы что бы мою проблему рассмотрели отдельно.

И так ... 1-ый раз, примерно год назад, когда у меня были такие же симптомы ... я перепробовал всё, следовал всем инструкциям, но в конечном итоге мне помог простой, CureIT от DR.WEB, который нашел злополучный екзэшник в System Volume Information.
Сейчас CureIT ничего не находит, мой стационарный AVG8 - тоже, в секс с AVZ, HijackThis и т.д. - я не верю после 1-ого случая.

Нашел одну странную вещь которую никогда не замечал - в настройках WindowsFirewall появилось новое, блокирующее правило, которое нельзя редактировать.


988essence 15-03-2010 13:03 1369082

После отключения сервиса FireWall, всё начинает работать. Как удалить это правило? Пустил свой AVG по другому порту, и всё обновляется.

iskander-k 15-03-2010 13:13 1369092

988essence, Здравствуйте. Выложите логи в соответствии с этими инструкциями.

Drongo 15-03-2010 13:13 1369095

Цитата:

Цитата 988essence
в секс с AVZ, HijackThis и т.д. - я не верю после 1-ого случая. »

Тогда непонятен ваш выбор раздела в котором есть чёткий свод правил создания темы - Правилам раздела "Лечение систем от вредоносных программ"
Цитата:

4. При открытии темы пожалуйста постарайтесь избегать неинформативных, заголовков (например «У меня проблема», «Помогите», «Спасите»). В теле сообщения опишите возникающую проблему, опишите те действия, которые вы проделывали для устранения проблемы, разместите лог файлы, требующиеся согласно Правилам оформления запроса о помощи.
Цитата:

Цитата 988essence
После отключения сервиса FireWall, всё начинает работать. Как удалить это правило? Пустил свой AVG по другому порту, и всё обновляется. »

Как я понял проблема была в Firewall или в AVG? Тогда в тему - AVG Anti-Virus

У вас есть один пост чтобы предоставить логи, после чего если их не будет. Тема будет закрыта автоматически.

akok 15-03-2010 14:09 1369144

Дополню:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe



Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

988essence 15-03-2010 14:53 1369179

Вложений: 3
Цитата:

Цитата Drongo
Как я понял проблема была в Firewall или в AVG? »

Проблема и не в Firewall и не в AVG, а вирусе который блокирует AVG средствами Firewall.

Странно, что после отключения Firewall, AVG начинает обновляться, и часть сайтов начинает открываться, как например http://kaspersky.ru, в то время как http://www.freedrweb.com/ по прежнему молчит, ровно как и http://z-oleg.com/

Вот логи ...

988essence 15-03-2010 16:24 1369225

Вложений: 1
Цитата:

Цитата akok
Скачайте ComboFix »

Не помогло, зато открыло глаза на ключ реестра в котором прописан lock firewall-а.

Drongo 15-03-2010 17:35 1369280

988essence, Вот такие рекомендации выполните.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\\WINDOWS\\system32\\userinit.exe ,C:\WINDOWS\system32\f5c287e2.exe,\\?\globalroot\systemroot\system32\Nwi6D1m.exe,\\?\globalroot\systemroot\system32\niBLRk8.exe,

Внимание: Пофиксите только те DNS, которые вам НЕ знакомы.
Цитата:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C9B3A7C-FCF2-42F9-8408-7EF564EE8E3C}: NameServer = 80.254.111.254,195.161.172.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6E02BE7-B990-41D8-852A-D043730F09FD}: NameServer = 80.254.111.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAA794F9-EBBC-4E5E-944D-F3DABBC05006}: NameServer = 85.255.112.13,80.254.111.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.13,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.13,85.255.112.110
Эти IP Одесские
Цитата:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.13,85.255.112.110
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.13,85.255.112.110
Эти IP Ростов-на-Дону
Цитата:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C9B3A7C-FCF2-42F9-8408-7EF564EE8E3C}: NameServer = 80.254.111.254,195.161.172.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6E02BE7-B990-41D8-852A-D043730F09FD}: NameServer = 80.254.111.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAA794F9-EBBC-4E5E-944D-F3DABBC05006}: NameServer = 85.255.112.13,80.254.111.254
Вы откуда? :)


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
 DeleteFile('C:\WINDOWS\system32\muangsys.dll');
 DeleteFile('C:\autorun.inf');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Повторите логи и что с проблемой?

988essence 15-03-2010 17:57 1369299

Цитата:

Цитата Drongo
Вы откуда? »

Я из Ростова-на-Дону ...
За ранее спасибо, сейчас буду пробовать.

Drongo 15-03-2010 19:19 1369344

Цитата:

Цитата 988essence
Я из Ростова-на-Дону ... »

Значит фиксите Одесские IP

988essence 15-03-2010 19:25 1369350

Вложений: 3
После фиксов через Hijack - нэт вообще работать перестал, похоже я убил настройки DNS, без которых нэт вообще не работает. Ну это оказалось поправимо, просто вбил настройки IPv4 и всё заработало.

А, после скрипта для AVZ всё стало на свои места. Сейчас обновляю AVG9, сайт AVG тоже работает.
Точно уверен что дело не в autorun.inf, тогда остаётся
Цитата:

Цитата Drongo
C:\WINDOWS\system32\muangsys.dll »

и
Цитата:

Цитата Drongo
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1); BC_ImportAll; »

Я смотрел много подобных тем, там часто пользователи спасались через AVZ, а потом всё опять рушелось, только ещё сильнее ... мне тоже этого ждать? Что посоветуите, чтобы такого не произошло?

Drongo 15-03-2010 20:11 1369386

Цитата:

Цитата 988essence
Ну это оказалось поправимо, просто вбил настройки IPv4 и всё заработало. »

HiJackThis создаёт резервные копии фикса, поэтому достаточно было их восстановить. :) Но раз всё решилось, то хорошо.
Цитата:

Цитата 988essence
А, после скрипта для AVZ всё стало на свои места. Сейчас обновляю AVG9, сайт AVG тоже работает.
Точно уверен что дело не в autorun.inf, тогда остаётся »

Дело было в статическом маршруте
Цитата:

>> Обнаружен статический маршрут к сайту производителя антивируса
И его почистила команда ExecuteRepair(20);

Логи чистые.
Цитата:

Цитата 988essence
Я смотрел много подобных тем, там часто пользователи спасались через AVZ, а потом всё опять рушелось, только ещё сильнее ... мне тоже этого ждать? »

Рушится потому что пренебрегают профилактическими мероприятиями или недолечиваются полностью. Такого не произойдёт если соблюдать правила безопасности и проверять компьютер хотя бы раз в неделю. Всё будет хорошо. :yes:

Если пользуетесь IE, скачайте и обновите ваш IE6 до Internet Explorer 7. В Internet Explorer 7, отключите ActiveX и настройте безопасность. Рекомендуется использовать Firefox с плагином NoScript
Рекомендую проверять систему регулярно, утилитой CureIT или Kaspersky Virus Removal Tool
Регулярно обновляйте базы для вашего антивируса.
Не работайте с правами Администратора на компьютере.

Значит проблемы решились? Если да, отмечайте тему решённой.

А вы говорили
Цитата:

Цитата 988essence
в секс с AVZ, HijackThis и т.д. - я не верю »

:teeth:

okshef 15-03-2010 21:37 1369460

Цитата:

Цитата Drongo
обновите ваш IE6 до Internet Explorer 7 »

А ссылка-то на IE8 :)

Drongo 15-03-2010 21:46 1369465

Цитата:

Цитата okshef
А ссылка-то на IE8 »

Ну, на момент создания шаблона был IE7


Время: 01:58.

Время: 01:58.
© OSzone.net 2001-