Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не обновляется антивирус, не открываются сайты антивирусов (http://forum.oszone.net/showthread.php?t=199594)

juvecrash 15-02-2011 21:54 1613868
Не обновляется антивирус, не открываются сайты антивирусов
 
Здравствуйте..

У меня распространенная проблема, не обновляется антивирус (стоит NOD32) и не заходит на сайты антивирусов.

Скачал следующие программы с другого компьютера:
AVZ, полиморфный AVZ, ComboFix, HiJackThis, RSIT, Kaspersky Virus Removal Tool, MBAM
не одна из перечисленных программ не запускается на зараженном компьютере, вернее запускается, но через долю секунд вылетает...

Запускается и проводит полную проверку только Dr. Web CureIt.
Проверяю согласно Правилам в безопасном режиме,
но он ничего не находит, собственно по этим правилам я дохожу только до пункта 2.2

Так же пробовал Kaspersky Rescue Disk 10 он тоже ничего не нашел

Изначально когда NOD перестал обновятся (последнее удачное обновление 12.02.11 18:54:44) я им просканировал весь компьютер..
NOD нашел 2 трояна, но я не помню какие, так как на то время ещё не нашел этот форум, сейчас NOD тоже ничего не находит

Исходя из всего вышеперечисленного не могу предоставить вам логи :(

Так же пробовал выполнить команду route -f, перегружал компьютер и все равно проблема не исчезает..

Помогите, пожалуйста, я уже не знаю что делать, вроде бы исчерпал все варианты которые нашел у вас... может быть есть ещё какой-то способ?

goredey 15-02-2011 21:58 1613874
juvecrash, скачайте отсюда .Распакуйте.Запускать ярлык 11.ехе!

juvecrash 15-02-2011 22:34 1613916
Попробовал, на этот раз AVZ проработал немного дольше, я даже успел нажать на меню Файл, однако затем вылетел Explorer, а за ним и сам AVZ оставив мне пустой рабочий стол...

После перезапуска Explorer'a пробовал несколько раз снова запускать AVZ и он опять запускается на долю секунды, иногда Explorer снова вылетал

Ух ты... попробовал запустить опять, Explorer вылетел, но AVZ работает, правда я с разгона поставил сразу выполнять Стандартные скрипты № 3 без обновления AVZ... боюсь пошевелить мышкой

goredey 15-02-2011 22:51 1613933
Цитата:
Цитата juvecrash
правда я с разгона поставил сразу выполнять Стандартные скрипты № 3 без обновления AVZ... боюсь пошевелить мышкой »
Ничего не бойтесь)) Будем ждать!

juvecrash 15-02-2011 23:38 1613981
Готово вот логи

goredey 15-02-2011 23:45 1613989
juvecrash, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\jdksqup.exe','');
 DeleteFile('c:\windows\system32\jdksqup.exe');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(16);
 ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте по этой форме

Обновите базы и повторите логи АВЗ
+
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

juvecrash 16-02-2011 00:32 1614018
Вложений: 2
Все выполнил... NOD32 обновился, сайты антивирусов теперь тоже доступны, огромное спасибо... :)


Пару вопросов:

После перезагрузки системы по завершению первого скрипта в сетевых подключениях появилось 1394-соединение
и собственно в диспетчере устройств появился Сетевой адаптер 1394... Его можно удалять?

Так же после того как провел выполнение стандартных скриптов в AVZ при перезагрузки компьютера Windows начинает грузится то со 2-ого, то с 3-ого раза
(то есть появляется надпись Loading Operation System и компьютер снова перегружается, на 2-й или 3-й раз Windows грузится).
Загружается система, я сразу пробую её перегрузить и снова Windows запускается не с первого раза... это как то связано с лечением или просто совпало?


Карантин отправил

вот новые логи

goredey 16-02-2011 20:18 1614707
juvecrash, это ваш провайдер ZAO Electro-Com Kaluga ?

Установите Internet Explorer 8 даже если не пользуетесь!
Обновите продукцию компании ADOBE.

ComboFix запускали?Если да то удалите


Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Цитата:
Цитата juvecrash
После перезагрузки системы по завершению первого скрипта в сетевых подключениях появилось 1394-соединение
и собственно в диспетчере устройств появился Сетевой адаптер 1394. »
Прочите
здесь

Цитата:
Цитата juvecrash
Загружается система, я сразу пробую её перегрузить и снова Windows запускается не с первого раза. »
Проделайте следующее

1.проверка дисков. пуск - выплонить - вбить
Цитата:
chkdsk /f /r
нажать enter
2. проверка целостности системных файлов. Вставить диск с дистрибутивом.
пуск - выплонить - вбить
Цитата:
sfc.exe /scannow
нажать enter


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

juvecrash 16-02-2011 22:58 1614855
Да ЗАО "Электро-ком Калуга" мой провайдер

Internet Explorer 8 установил, из ADOBE у меня Reader (пишет что в обновлении не нуждается) и старенькие Photoshop с ImageReady (но они крякнуты и не обновляются)

ComboFix пробовал запускать когда не обновлялись базы антивируса, но он так и не запустился, поэтому удалять нечего

OTCleanIt выполнил

По поводу Сетевого адаптера 1394 понятно, просто его раньше не было, я думал что его появление связано с лечением...

По поводу перезагрузки - сегодня когда включал компьютер Windows загрузился с первого раза, и в процессе установки Internet Explorer'a 8 и работы OTCleanIt'а компьютер перегружался и Windows грузился с первого раза, поэтому рекомендованные команды не выполнял.. или все таки стоит?

Вот лог из Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5775

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.02.2011 22:40:57
mbam-log-2011-02-16 (22-40-50).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 303650
Времени прошло: 28 минут, 5 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 3
Заражённые папки: 0
Заражённые файлы: 8

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\program files\WinRAR\Unipatch.exe (RiskWare.Tool.CK) -> No action taken.
d:\Games\medal of honor\Binaries\loader.dll (Riskware.Tool.CK) -> No action taken.
d:\My Doc\Drivers\Soft\adobe photoshop 9.0 cs2 rus\keygen.exe (Trojan.Agent.CK) -> No action taken.
d:\My Doc\Drivers\Soft\cad systems\autocad 2006\Keymaker.exe (Malware.Gen) -> No action taken.
d:\My Doc\Drivers\Soft\cad systems\autocad 2008\Keygen\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\My Doc\Drivers\Soft\cd-rw soft\Nero 7\nero 7.0.8.2\keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\My Doc\Drivers\Soft\microsoft office\microsoft office visio professional 2007 rus\msa2007kg.exe (Hacktool.Agent) -> No action taken.
d:\My Doc\Drivers\Soft\FlashGet\crack.exe (Malware.Packer.Gen) -> No action taken.

goredey 17-02-2011 10:39 1615127
Цитата:
Цитата juvecrash
По поводу перезагрузки - сегодня когда включал компьютер Windows загрузился с первого раза, и в процессе установки Internet Explorer'a 8 и работы OTCleanIt'а компьютер перегружался и Windows грузился с первого раза, поэтому рекомендованные команды не выполнял.. или все таки стоит »
Я советую выполнить.Так как вы постоянно перезагружали могли возникнуть ошибки.

Найденные в МВАМ кейгены и кряки, удалять или нет решать вам.
Если проблем больше нет, то можно закончить лечение.


Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).

juvecrash 17-02-2011 11:37 1615175
Доберусь до дома все сделаю...

Еще вопрос, нужно ли выполнять данный пункт правил:
5.6. После окончания лечения запустите AVZ, в меню - AVZM выберите Удалить и выгрузить драйвер расширенного мониторинга процессов, в меню меню Файл - Стандартные скрипты - выбрать п.6. Удаление всех драйверов и ключей реестра AVZ.

так как я устанавливал этот драйвер при создании логов

goredey 17-02-2011 11:42 1615178
Цитата:
Цитата juvecrash
Еще вопрос, нужно ли выполнять данный пункт правил:
5.6. После окончания лечения запустите AVZ, в меню - AVZM выберите Удалить и выгрузить драйвер расширенного мониторинга процессов, в меню меню Файл - Стандартные скрипты - выбрать п.6. Удаление всех драйверов и ключей реестра AVZ.
так как я устанавливал этот драйвер при создании лого »
А в чем проблема? Этими действиями будет просто произведена зачистка ключей после работы АВЗ

juvecrash 17-02-2011 12:44 1615242
Да проблемы вообщем нет :)

просто спросил нужно или нет, в правилах вроде написано, вдруг это важно

juvecrash 17-02-2011 19:48 1615609
Все выполнил.

Ещё раз ОГРОМНОЕ спасибо Вам goredey, очень здорово что есть такие люди, которые готовы в трудную минуту прийти на помощь!

Буду придерживаться ваших советов, но если вдруг что я знаю куда обратиться :)

thyrex 28-02-2011 21:56 1624027
Пароли все смените


Время: 19:25.

Время: 19:25.
© OSzone.net 2001-