Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Невозможно зайти на антивирусные сайты и получать обновления баз антивирусов (http://forum.oszone.net/showthread.php?t=178647)

helis_is 20-06-2010 00:48 1437679

Невозможно зайти на антивирусные сайты и получать обновления баз антивирусов
 
Вложений: 1
Не могу зайти на антивирусные сайты. А частности на касперского и www.drweb.com. Соответственно, не могу скачать CureIt. Поэтому проделала все пункты из"Кратких правил по запросу помощи в лечении", за исключением первого. Вот логи. Помогите пожалуйста.

Drongo 20-06-2010 00:59 1437686

helis_is, Привет. У вас кидо.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.




Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\01.tmp','');
 QuarantineFile('c:\docume~1\ac0d~1\locals~1\temp\esp631.tmp','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\agp440.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Msy63.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Msy63.sys');
 DeleteFile('c:\windows\system32\01.tmp');
 DeleteFile('c:\docume~1\ac0d~1\locals~1\temp\esp631.tmp');
 DeleteService('axogdy');
 DeleteService('jmeasvyga');
 DeleteService('mneqv');
 DeleteService('ovwylwwtd');
 DeleteService('oxzdp');
 DeleteService('phjcu');
 DeleteService('quznk');
 DeleteService('vegdrng');
 DeleteService('zkcot');
 DeleteService('znuziie');
 DeleteService('Msy63');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт
Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.




Файл C:\WINDOWS\system32\Drivers\agp440.sys заражен, его нужно заменить на чистый из дистрибутива:
- Загрузитесь в консоли восстанов-ления
- На приглашение введите строку:
Код:

expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys
Вместо Х подставьте букву драйва, где лежит дистрибутив. Переписывание подтвердите.
- Выйдите из консоли восстановления командой exit + клавиша ВВОД.
- Загрузитесь нормально.

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консоли вос-становления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.




После чего выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.
Код:

Begin
 RegSearch('HKLM', '', 'esp631');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.



Также сделайте логи утилитой gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

helis_is 20-06-2010 19:50 1438076

Добрый день.

Спасибо за быстрый ответ. Сделала всё включая
Цитата:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Однако, отправить через форму пока не могу, т.к. ссылка на страницу сайта антивирусника, а проблема не устранена.

Следующий совет выполнить не могу:
Цитата:

Файл C:\WINDOWS\system32\Drivers\agp440.sys заражен, его нужно заменить на чистый из дистрибутива: - Загрузитесь в консоли восстанов-ления (http://support.microsoft.com/?scid=k...4058&x=11&y=10)

- На приглашение введите строку:

Код:...
Не грузится ссылка про консоль. Но дело не в этом. У меня большое подозрение, что строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку. Проверьте пожалуйста.

Drongo 20-06-2010 21:42 1438141

helis_is, Хорошо, оставим на потом. Делайте следующие рекомендации.

После чего выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.
Код:

Begin
 RegSearch('HKLM', '', 'esp631');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.



Также сделайте логи утилитой gmer

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

helis_is 23-06-2010 19:20 1440335

Вложений: 2
Добрый день.

Сделано. Кроме отсыла карантина на сайт Касперского и замены файла с помощью консоли восстановления. Вот логи.

Drongo 23-06-2010 20:26 1440360

Лог AVZ не тот. Поищите рядом с файлом avz.exe такой avz00.log если не найдёте, выполните такой скрипт, в результате у вас появится лог avz00.log прикрепите его к сообщению.
Код:

Begin
 RegSearch('HKLM', '', 'esp631');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.



Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:

gmer.exe -del service bkmcsbn
gmer.exe -del service hevsyec
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hevsyec"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bkmcsbn"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hevsyec"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bkmcsbn"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

helis_is 23-06-2010 22:48 1440457

Вложений: 2
Добрый вечер, Drongo.

Сделано.

Drongo 23-06-2010 23:12 1440464

Лог gmer чистый

Выполните скрипт в AVZ
Код:

begin
 QuarantineFile('C:\DOCUME~1\AC0D~1\LOCALS~1\Temp\esp631.tmp','');
 DeleteFile('C:\DOCUME~1\AC0D~1\LOCALS~1\Temp\esp631.tmp');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\CE2A381E');
 RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\CE2A381E');
 RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\CE2A381E');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.


Проверьте доступ к сайтам.

thyrex 24-06-2010 00:53 1440535

Цитата:

Цитата helis_is
строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку »

Какая здесь ошибка?

helis_is 24-06-2010 07:49 1440632

Добрый день, thyrex.

Цитата:

Цитата helis_is:
строка expand X:\i386\agp440.sy_ C:\WINDOWS\system32\DRIVERS\agp440.sys имеет синтаксическую ошибку »

Какая здесь ошибка?
Точно не помню ответ системы, но про синтаксис указание было. И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_.

Добрый день, Drongo.

Скрипт выполнила. Комп перезагрузился. Эффект не достигнут - по-прежнему сайты антивирусников недосягаемы. :(

Drongo 24-06-2010 12:11 1440758

Цитата:

Цитата helis_is
И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_ »

Всё там правильно. Это формат упакованых файлов в дистрибутиве.

Цитата:

Цитата helis_is
Скрипт выполнила. Комп перезагрузился. Эффект не достигнут - по-прежнему сайты антивирусников недосягаемы »

Давайте повторные логи + лог RSIT

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

helis_is 24-06-2010 19:35 1441028

Вложений: 1
Добрый вечер, Drongo

Цитата:

Цитата Drongo
Цитата helis_is:
Цитата:

И на мой неискушенный взгляд не дописано рассширение файла agp440.sy_ »
Всё там правильно. Это формат упакованых файлов в дистрибутиве.

Тогда прошу извинить. В ответ на эту строку комп отвечал что-то типа: не найден файл, папка или ошибка синтаксиса.

Цитата:

Цитата Drongo
Давайте повторные логи + лог RSIT

Вложила. Кроме лога RSIT, т.к. не грузятся не только Ваши ссылки на утилиту, но и погугленные. Хотя, поисковики, в основном, на те же страницы и ссылаются в конечном итоге.

Drongo 24-06-2010 19:54 1441040

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe
Код:

gmer.exe -del service xapvtiy
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xapvtiy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xapvtiy"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Выполнять скрипт можно ещё так. Запустите гмер - После экспресс-проверки щёлкните по вкладки >>> - перейдите на вкладку CMD - вставьте текст находящийся в теге код - нажмите кнопку Run
Код:

gmer.exe -del service xapvtiy
gmer.exe -del file "C:\WINDOWS\system32\radxce.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xapvtiy"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xapvtiy"
gmer.exe -reboot


helis_is 24-06-2010 21:39 1441102

Вложений: 1
Добрый вечер, Drongo

Новый лог

Drongo 24-06-2010 22:05 1441116

helis_is, лог чистый, что с доступом к сайтам?

thyrex 24-06-2010 22:23 1441130

helis_is, проверьте, какой из файлов присутствует на диске с дистрибутивом в папке I386: agp440.sy_ или agp440.sys

helis_is 24-06-2010 23:06 1441151

Добрый вечер, Drongo

Эффект тот же. Вернее, без эффекта :(

Добрый вечер, thyrex

Действительно не могу найти этот файл. Есть только agp.in_.

Drongo 24-06-2010 23:25 1441168

helis_is, Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Установите галочку Удаление остатков служб оставшихся после вируса
4. По окончании не ждать нажатия любой клавиши...
5. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

thyrex 24-06-2010 23:31 1441172

А также

Посмотрите, на компьюnере в папке system32\dllcache есть файл agp440.sys?

helis_is 25-06-2010 17:41 1441649

Добрый день, Drongo

Теперь и на этот форум зайти не могу :) Пишу с чужого компа. Соответственно, утилиты тоже сейчас выкачаю здесь, потом дома буду упражняться.

Большая просьба, дублируйте мне сообщение на емейл. И очень хорошо, если бы у меня была возможность отвечать каким-нибудь альтернативным способом, а не только через форум.

Заранее спасибо.

thyrex 25-06-2010 19:05 1441713

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

helis_is 26-06-2010 18:25 1442207

Вложений: 3
Добрый день, Drongo и thyrex

На форум смогла входить после того, как в комадной строке прописала и выполнила route -f. Проделала все возможные манипуляции, которые вы советовали. Логи прилагаются.

Отправила ранее сформированный файл quarantine.zip через указанную Вами форму в лаб. Касперского.

Цитата:

Цитата thyrex
Посмотрите, на компьюnере в папке system32\dllcache есть файл agp440.sys?

У меня на компе вообще не существует папки system32\dllcache. А agp440.sys находится по адресу C:\WINDOWS\system32\ReinstallBackups\0006\DriverFiles\i386. На загрузочном диске agp440 вообще не находит.

helis_is 26-06-2010 18:31 1442211

Да, забыла сказать самое главное! Могу заходить на сайты антивирусников. Закачала Касперского (Антивирус Касперского 2010 9.0.0.736). Сейчас шуршит :)

Очень вам признательна. Жду дальнейших указаний, если они нужны :rolleyes:

thyrex 26-06-2010 20:47 1442281

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::
c:\windows\system32\01.tmp

FMOVE::
c:\windows\system32\ReinstallBackups\0006\DriverFiles\i386\AGP440.SYS|C:\WI NDOWS\system32\drivers\agp440.sys

Driver::
zxkfpb
hevsyec
bkmcsbn
xapvtiy

NetSvc::
hevsyec
bkmcsbn
xapvtiy

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8507:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Сделайте также новые логи AVZ

helis_is 27-06-2010 01:32 1442452

Вложений: 2
Добрый вечер, thyrex

Сделано. Логи прилагаются.

thyrex 27-06-2010 11:38 1442546

Новые логи AVZ - это логи virusinfo_syscure.zip и virusinfo_syscheck.zip

helis_is 27-06-2010 22:58 1442842

Добрый вечер, thyrex

Сорри. Прилагаю.

thyrex 27-06-2010 23:27 1442856

C:\WINDOWS\system32\DRIVERS\agp440.sys проверьте на virustotal
Ссылку на результат проверки сообщите


Время: 13:02.

Время: 13:02.
© OSzone.net 2001-