Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Блокировка антивирусных сайтов (http://forum.oszone.net/showthread.php?t=190712)

Shadom 09-11-2010 16:44 1538572
Блокировка антивирусных сайтов
 
Вложений: 2
Здравствуйте. Вообщем, некоторое время подвисают различные приложения и еще чуть позже заметил, что заблокированы антивирусные сайты. Прикрепляю логи.
Проверял комп Dr.Web'ом и AVP Tool'ом. Удалил 3-4 вируса. Из них 1 Trojan.VBS.Zapchast.ac, а остальные Backdoor.Win32.Shiz.adc.

zirreX 09-11-2010 17:19 1538602
• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\XDva354.sys','');
QuarantineFile('C:\WINDOWS\system32\55c42a9b.exe','');
QuarantineFile('C:\WINDOWS\system32\osihrb.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\xpsp2res.dll','');
DeleteFile('C:\Program Files\Internet Explorer\xpsp2res.dll');
DeleteFile('C:\WINDOWS\system32\osihrb.exe');
DeleteFile('C:\WINDOWS\system32\55c42a9b.exe');
DeleteFileMask('C:\Program Files\Common Files\24420012a', '*.*', true);
DeleteDirectory('C:\Program Files\Common Files\24420012a');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Сделайте повторные логи

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Установите Internet Explorer 8
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Shadom 09-11-2010 18:28 1538658
Вложений: 3
Сделал, вот логи. По отправленному файлу quarantine ответ еще не пришел.

Shadom 09-11-2010 18:31 1538659
Кстате, из Malwarebytes' Anti-Malware выходить, не применяя никаких действий к обнаруженным вирусам?

zirreX 09-11-2010 18:36 1538664
Цитата:
Цитата Shadom
Кстате, из Malwarebytes' Anti-Malware выходить, не применяя никаких действий к обнаруженным вирусам? »
Пока не выходите, я напишу что удалить.

zirreX 09-11-2010 18:52 1538676
Вы прикрепили старый лог RSIT log.txt, прикрепите новый.


Удалите в MBAM:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{456a3b12-8fe6-41ae-9e5c-5e55f0712c09} (Rogue.PCDefender) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
C:\Program Files\Common Files\wm\keys\ErrorLog.txt (Trojan.KeyLog) -> No action taken.
C:\Documents and Settings\User\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

Shadom 09-11-2010 19:05 1538684
Вложений: 2
Извиняюсь, удалил файлы, выложил новые логи RSIT.

zirreX 09-11-2010 19:10 1538693
Всё в порядке. Проблема решена?

Обязательно смените все важные пароли!!!

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

Помимо антивируса, проверяйте систему на присутствие вредоносных программ утилитой Dr.Web Cureit

Shadom 09-11-2010 19:30 1538707
Да, всё заработало. Огромное вам спасибо=)


Время: 17:07.

Время: 17:07.
© OSzone.net 2001-