Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус не пускает на сайты антивирусов: Касперский, Доктор Веб. (http://forum.oszone.net/showthread.php?t=204438)

Saigo-no-katsu 10-04-2011 17:30 1655345

Вирус не пускает на сайты антивирусов: Касперский, Доктор Веб.
 
Вирус не пускает на сайты антивирусов: Касперский, Доктор Веб. А еще не грузится Дайри.ру.
Что делать?
Логи загрузила.

Farger 10-04-2011 17:44 1655360

Здравствуйте,

Сейчас посмотрю логи. Уберите с вашего сообщения карантин от AVZ - virusinfo_cure.zip

Farger 10-04-2011 18:24 1655369

1.Удалите Ask.com через Панель управления – Установка/Удаление программ.
2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\WINDOWS\activate.exe','');
 QuarantineFile('-.exe','');
DeleteFile('-.exe');
DeleteFile('C:\WINDOWS\activate.exe');
 DeleteFile('C:\thumbs.db');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','vidc.ffds');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','vidc.ffds');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.
Код:

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите AVZ и повторите логи AVZ.

5. Выполните лог RSIT.Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Saigo-no-katsu 10-04-2011 20:51 1655455

Вложений: 3
Все, что нужно было, сделала. Ответа от лаборатории Касперского еще не было. Файлы прикрепляю.
На сайты доступ снова открылся - проверила. Спасибо вам большое. )

Farger 11-04-2011 00:48 1655571

1.С помощью AVZ найдите файл lllhsmei.sys -> Как искать файлы при помощи AVZ. Если найдете, проверьте на virustotal и дайте ссылку на результат.
2.Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

3. Пофиксить в HJT

Код:



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Tensons.Application.DownloadAcceleratorManager.BHO - {00000003-1118-11da-8cd6-0800200c9888} - mscoree.dll (file missing)
O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O3 - Toolbar: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O24 - Desktop Component 0: (no name) - http://www.zaycev.net/captcha.php?id=c7efbf569bddfba2a5030d3c55b38af0

4. Если не устанавливали http://webalta.ru и http://smaxi.net стартовыми и поисковыми страницами, тогда эти строки тоже пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

5. Ваш провайдер - OJSC VolgaTelecom?

6. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe','');
 QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe','');
 QuarantineFile('C:\WINDOWS\system32\4B.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe','');
QuarantineFile(' C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C2.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C5.exe','');
QuarantineFile(' C:\WINDOWS\system32\7C5.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe','');
QuarantineFile(' C:\WINDOWS\system32\7E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe','');
QuarantineFile(' C:\WINDOWS\system32\A7E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe','');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe');
DeleteFile(' C:\WINDOWS\system32\7E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe');
DeleteFile(' C:\WINDOWS\system32\A7E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe');
 DeleteFile('C:\WINDOWS\system32\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe');
DeleteFile(' C:\WINDOWS\system32\46.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C2.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C5.exe');
DeleteFile(' C:\WINDOWS\system32\7C5.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

7. Запустите еще раз MBAM и удалите все, что он найдет.

Повторите логи AVZ и RSIT.

Saigo-no-katsu 11-04-2011 18:51 1655958

Вложений: 1
1) Файла такого не нашла.
2)Сделала.
3)Профиксила.
4)Тоже
5)Да
6)Сделала.
7)Удалила.
Файлы прикрепляю.

Saigo-no-katsu 11-04-2011 19:26 1655974

Ответ от лаборатории Касперского пришел. Сказали, что вредоносных программ в архиве не обнаружено.
Правда, возникла пара проблем: пропало оформление на сайтах Одноклассники, вконтакте и еще на нескольких...
Извините за такие неудобства, я просто полный лузер в компьютерах. =(((

Farger 11-04-2011 21:24 1656080

Здравствуйте,

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение, а также эмулятор дисков. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Saigo-no-katsu 11-04-2011 22:46 1656138

Вложений: 1
Здравствуйте,
Все сделала, файл прикрепляю.

Farger 12-04-2011 00:21 1656173

У вас сборка Windows?

Файлы c:\windows\regedit.exe и c:\windows\system32\winlogon.exe проверьте на virustotal и дайте ссылку на результат.

hxxp://soft.export.yandex.ru – сайт вам знаком?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]
"29760:TCP"= -

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Saigo-no-katsu 12-04-2011 14:49 1656513

Вложений: 1
Да, сборка Windows. (Но винда вроде нелицензионная)
Файлы проверила:
http://www.virustotal.com/file-scan/...d10-1302605237
http://www.virustotal.com/file-scan/...4e5-1302605283
Отчет прикрепляю.

Saigo-no-katsu 12-04-2011 19:35 1656687

Проблема за проблемой... Теперь звук как в колонках, так и в наушниках постоянно прерывается и исчезает. =(((

Farger 12-04-2011 21:47 1656813

Здравствуйте,

Цитата:

Цитата Saigo-no-katsu
пропало оформление на сайтах Одноклассники, вконтакте и еще на нескольких... »

Такое наблюдается во всех браузерах или нет?

Цитата:

Цитата Saigo-no-katsu
Теперь звук как в колонках, так и в наушниках постоянно прерывается и исчезает. »

Переустановить плеер не пробовали? У вас кодеки старые. Загрузить обновление можете отсюда

Saigo-no-katsu 12-04-2011 22:13 1656842

Оформление на сайтах снова появилось после того, как скачала новую версию браузера, а вот звук заедает во всех плеерах. Неужели все обновлять?

Farger 13-04-2011 11:19 1657175

Здравствуйте,

Переустановить плеер(-ы) не пробовали? Обновить надо только кодеки (ссылку дал).


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]
"29760:TCP"= -

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Saigo-no-katsu 13-04-2011 13:47 1657291

Вложений: 1
Плееры переустанавливала, кодеки обновляла, но проблема не исчезла. Может, дело в самих колонках? Потому что даже при просмотре видео он-лайн звук заедает.

Файл прикрепляю.

Farger 13-04-2011 16:52 1657428

Здравствуйте,

Другие колонки не пробовали подключить?

1.Ответ от лаборатории Kaspersky был дан по двум архивам или нет? По какому именно?
2.Откройте HJT -> Main Menu -> Open the Misc Tools section -> Backups -> найдите
Код:

O2 - BHO: Tensons.Application.DownloadAcceleratorManager.BHO - {00000003-1118-11da-8cd6-0800200c9888} - mscoree.dll (file missing)
нажмите Restore.

3. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::

Driver::
asldxthj

NetSvc::
asldxthj

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29760:TCP"=-

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Saigo-no-katsu 13-04-2011 21:39 1657634

Вложений: 1
Колонок других нет, но проблема вроде бы сама исчезла.
1. Ответ от Касперского был на самый первый архив.
2. Сделала.
3. Файл прикрепляю.

А у меня тут что-то серьезное, если не секрет?

Farger 13-04-2011 23:41 1657743

Цитата:

Цитата Saigo-no-katsu
Ответ от Касперского был на самый первый архив. »

Хм, ок, тогда, я надеюсь, остался последний скрипт:

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::
C:\WINDOWS\system32\4B.exe
C:\WINDOWS\system32\46.exe
C:\WINDOWS\system32\7C5.exe
C:\WINDOWS\system32\7E.exe
C:\WINDOWS\system32\A7E.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7C2.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7C5.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe
C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe


Driver::

Folder::

Registry::

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

После скрипта, сделайте новый лог RSIT.

Saigo-no-katsu 14-04-2011 23:19 1658579

Вложений: 2
Все сделала, файлы прикрепляю.

Farger 15-04-2011 01:33 1658633

Здравствуйте,

В логах чисто, что с проблемами?

Saigo-no-katsu 17-04-2011 18:28 1660357

Здравствуйте. )
Проблем больше нет, на все сайты заходит, оформление на месте, звуки в порядке.
Спасибо вам большое.

zirreX 17-04-2011 19:21 1660385

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Saigo-no-katsu 17-04-2011 20:18 1660411

Все сделала.

Farger 18-04-2011 00:34 1660587

- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX.
- не забывайте регулярно устанавливать обновления Windows и обновлять антивирусные базы.
- выполняйте ежедневное сканирование системы
- не кликайте на ссылках в электронной почте и не открывайте вложения в которых вы сомневаетесь.
- установите программу предотвращения вторжений, которая защищает компьютер в реальном времени (если это функция отсутствует в вашем антивирусе или реализована частично). Например PC Tools ThreatFire, WinPatrol или Spyware Terminator
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!

Saigo-no-katsu 18-04-2011 21:59 1661237

Хорошо, спасибо )


Время: 16:34.

Время: 16:34.
© OSzone.net 2001-