Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] не грузятся сайты антивирусов, не запускаются AVZ,Hjack и т.д (http://forum.oszone.net/showthread.php?t=185265)

gridik 12-09-2010 16:59 1493786
не грузятся сайты антивирусов, не запускаются AVZ,Hjack и т.д
 
стоит нод32. С сегоднешнего дня исчез из трея, но висит в процессах ekrn.exe. через ЕХЕшник не запускается
не могу зайти на сайты антивирусов и на различные форумы по лечению вирусов
avz,Hjack, RSIT, утилиты с касперского все запускаются на секунду и исчезают
вот логи с чего получились

gridik 12-09-2010 17:10 1493798
еще постоянно тупить стал комп
растет svchost.exe и explorer.exe

пробовал чистить ветку реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
не помогает

MotherBoard 12-09-2010 17:28 1493811
Удалите то, что нашёл MBAM.
Только не трогайте:
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные файлы:
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
всё остальное удаляйте...

попробуйте выполнить правила. то есть стандартный набор логов

gridik 12-09-2010 19:23 1493876
удалил, перезагрузился но все осталось по прежнему
реестр вернулся в прежнее состояние, тоесть все так же заблокированно

MotherBoard 12-09-2010 21:18 1493937
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

File::
c:\windows\system32\rpqyij.exe
c:\windows\system32\ded638c1.exe
c:\program files\Common Files\jqyrg4inedzz13m
Driver::

Folder::
c:\program files\Common Files\435d4a7f
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Проверьте на http://www.virustotal.com/

c:\windows\system32\drivers\22282722.sys
c:\windows\system32\drivers\2228272.sys
c:\windows\system32\drivers\22282721.sys
c:\windows\system32\drivers\vde0mzqy.sys
c:\windows\system32\sfcfiles.dll

что с проблемами?

gridik 13-09-2010 16:57 1494509
вроде все работает, спасибо огромное

эти файлы отсутствуют :
c:\windows\system32\drivers\22282722.sys
c:\windows\system32\drivers\2228272.sys
c:\windows\system32\drivers\22282721.sys

эти показывает нормальные:
c:\windows\system32\drivers\vde0mzqy.sys
c:\windows\system32\sfcfiles.dll

вот лог комбофикса

gridik 13-09-2010 17:36 1494551
вот еще логи авз

iskander-k 13-09-2010 20:51 1494676
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RebootWindows(true);
end.

gridik 14-09-2010 18:56 1495330
все сделал жду ответа на почту
вот логи

MotherBoard 16-09-2010 19:55 1497062
выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('ac3acm.acm','');
 QuarantineFile('c:\windows\system32\spb.exe','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузится
выполните скрипт

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин отправьте по форме: http://support.kaspersky.ru/virlab/helpdesk.html

gridik 17-09-2010 16:47 1497898
у меня снова не работает авз и т.д.

Arbitr 18-09-2010 10:53 1498380
сделайте снова лог Комбо

gridik 18-09-2010 14:40 1498514
Вложений: 2
вот логи

gridik 18-09-2010 14:51 1498523
и файлы на форум с первого раза не грузятся пишет что привышен размер на 34кб , хотя он весь столько весит
хотя может это и не из-за вируса

Arbitr 18-09-2010 16:12 1498558
может стоит их архивировать))

Arbitr 18-09-2010 16:38 1498573
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\cyepuf.exe
c:\windows\nsreg.dat
c:\windows\F9835182794B4F24902AE2CA9D43380F.TMP
c:\program files\Common Files\jqyrg4inedzz13m

Driver::



Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18469:TCP"=-


Folder::
c:\program files\Common Files\435d4a96
c:\program files\Common Files\435d4a7f
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

с помощью мбам удалить все кроме следующих строк
Цитата:
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken.
повторить после контрольные MBAM + RSIT

gridik 18-09-2010 16:52 1498583
архивировать пробовал, разницы не какой

gridik 18-09-2010 18:24 1498629
Вложений: 1
лог после скрипта

gridik 18-09-2010 18:25 1498630
позже выложу контрольные MBAM + RSIT

gridik 18-09-2010 19:25 1498664
Вложений: 3
логи после удаления мбам

gridik 18-09-2010 19:26 1498665
после скрипта заработало, вроде все

Arbitr 18-09-2010 19:42 1498680
проверьте на virustotal.com
C:\WINDOWS\Winchat.ini
ссылку на результат приложите
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
что с проблемами?
если все нормально отмечайте решенной

gridik 18-09-2010 19:48 1498682
ни чего не нашел
http://www.virustotal.com/file-scan/...63c-1284824621

gridik 18-09-2010 20:11 1498703
спасибо огромное
еще раз мне помогли

как избавится от дальнейшего заражения этим вирусом???
в прошлый раз я отправлял карантин, но так ни чего не пришло, кроме уведомления что посмотрят. Это месяц назад примерно было.

Arbitr 18-09-2010 22:16 1498765
Цитата:
Цитата gridik
Это месяц назад примерно было. »
сейчас отправка карантина будет производиться на quarantine@virusnet.info а не ЛК
удачи
Цитата:
Цитата gridik
как избавится от дальнейшего заражения этим вирусом??? »
надо соблюдать элементарные правила безопасности.. иметь хорошо настроенный фаервол..тут много зависит от пользователя а не от программ которые у него установлены..


Время: 21:12.

Время: 21:12.
© OSzone.net 2001-