Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Ни один браузер не открывает страницу, хотя интернет есть (http://forum.oszone.net/showthread.php?t=224776)

bakytbek 09-01-2012 14:09 1831582
Ни один браузер не открывает страницу, хотя интернет есть
 
Добрый день!
Излагаю суть проблемы, месяц назад работал на компьютере подключенный к интернету, вдруг перезагрузился и после этого все браузеры не открывают страницу в интернете, хотя мейл агент и скайп работают.
Почитал в этом форуме руководства и предпринял некоторые действия, а также закрепил нужные файлы. Ссылку своей темы включил вместе с файлами.

Techno88 09-01-2012 14:10 1831584
Сделайте логи по правилам

bakytbek 09-01-2012 14:21 1831598
логи я сделал по правилам, но ведь здесь http://www.oszone.net/virusnet/ говорится что нужно отправить "Файлы quarantine.zip и/или virusinfo_cure.zip (другие недопустимы)".
Или их туда же отправлять?

Techno88 09-01-2012 14:26 1831603
Файлы
Код:
virusinfo_syscure.zip,
virusinfo_syscheck.zip,
log.txt,
info.txt
нужно прикрепить сюда!

По ссылке, которую Вы привели, загружается только карантин!!!

bakytbek 09-01-2012 14:35 1831612
Не нашел как прикрепить к своей теме файлы, подскажите пожалуйста.

bakytbek 09-01-2012 14:38 1831619
Вложений: 3
Нашел где прикреплять, извиняюсь.

Techno88 09-01-2012 14:46 1831632
Сделайте лог HijackThis

bakytbek 09-01-2012 14:53 1831642
Вложений: 1
Сделал лог HijackThis, только расширение переименовал на .txt, а то не принимает

thyrex 09-01-2012 15:39 1831705
Пофиксите в Hijack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {C7DDDD27-F303-42A5-B979-51559F7DC0F0} - (no file)
Если прокси-сервер сами не прописывали, пофиксите и эту строку
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.111:8080
Сделайте новый лог HiJack

bakytbek 10-01-2012 07:41 1832256
Вложений: 1
Сделал новый лог

bakytbek 10-01-2012 09:25 1832279
Вложений: 1
Цитата:
Цитата Techno88
Сделайте новый лог HijackThis »

bakytbek 10-01-2012 11:02 1832321
Кто нибудь посоветует что дальше делать то?

SolarSpark 10-01-2012 11:57 1832347
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\15E4.tmp','');
 DeleteFile('C:\WINDOWS\system32\15E4.tmp');
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM
_____________________________________

bakytbek 10-01-2012 15:15 1832492
Ни один браузер не открывает страницу
 
Вложений: 4
Предыдущая тема здесь http://forum.oszone.net/thread-224776.html
Выложил все требуемые файлы
Что дальше делать?

SolarSpark 10-01-2012 15:42 1832514
удалите а МВАМ потребуется повторное сканирование

Код:
Обнаруженные ключи в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (PUP.AdvancedPRecovery) -> Действие не было предпринято.

Объекты реестра обнаружены:  2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

Обнаруженные файлы:  53
C:\Documents and Settings\Admin\Application Data\AE.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\16.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\17.exe (Trojan.BCMiner) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\1E.exe (Trojan.BCMiner) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\25B1.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\27.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\27DF.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\2C.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\2D.exe (Trojan.BCMiner) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\2F.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\30.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\31.exe (Trojan.BCMiner) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\33.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\35.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\39.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\48C6.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\4C.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\51.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\52.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\53.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\6F.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\7.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\97.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\B.exe (Trojan.BCMiner) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\B37.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\B5.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\C2.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\CA7.exe (Trojan.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\zarchive\winzipz.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> Действие не было предпринято.
C:\Documents and Settings\Admin\secupdat.dat (Worm.Autorun) -> Действие не было предпринято.
Скачайте и установите критические обновления windows

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска

сделайте новый лог МВАМ

Drongo 10-01-2012 15:46 1832517
bakytbek, Одна проблема - одна тема. Не дублируйте темы!

bakytbek 12-01-2012 08:20 1833685
Вложений: 1
Цитата:
Цитата SolarSpark
Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска
сделайте новый лог МВАМ »

Сделал новый лог МВАМ

SolarSpark 12-01-2012 10:18 1833730
Это Вы не все удалили или файлы после удаления восстановились?

удалите все найденное КРОМЕ
Код:
Обнаруженные файлы: 
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
что с проблемой?

bakytbek 12-01-2012 11:36 1833779
Вложений: 1
Цитата:
Цитата SolarSpark
Это Вы не все удалили или файлы после удаления восстановились?
удалите все найденное КРОМЕ
Код:
Обнаруженные файлы:
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Действие не было предпринято.
что с проблемой? »
Сделал все как говорили

вот новый лог

bakytbek 12-01-2012 11:38 1833785
И еще интернет вообще перестал работать, потому что и агент и скайп, а также локальная сеть перестала работать

SolarSpark 12-01-2012 12:04 1833811
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

bakytbek 12-01-2012 14:04 1833922
Вложений: 1
Цитата:
Цитата SolarSpark
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
Подробнее в "ComboFix. Руководство по применению." »
Сделал все как сказано
вот лог

bakytbek 12-01-2012 15:04 1833979
Вложений: 1
и ComboFix.txt

SolarSpark 12-01-2012 16:03 1834016
обновления винды ставили? не похоже что закрыли дыры

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
что с проблемой?

bakytbek 13-01-2012 07:41 1834521
Цитата:
Цитата SolarSpark
обновления винды ставили? не похоже что закрыли дыры »
Обновление не получается так как в интернет уже не заходит, агент и скайп не работают, не знаю почему

iskander-k 13-01-2012 15:03 1834844
• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.
Код:
DeQuarantine::
C:\Qoobox\Quarantine\c\windows\system32\odbcad32.exe.vir
C:\Qoobox\Quarantine\c\program files\Mail.Ru\Agent\Mra\dll\MousePhone.dll.vir
C:\Qoobox\Quarantine\c\program files\ESET\EGUI.exe.vir
C:\Qoobox\Quarantine\c\windows\system32\Пузыри.scr.vir
C:\Qoobox\Quarantine\c\documents and settings\Admin\Local Settings\Application Data\Yandex\Updater\praetorian.exe.vir
quit::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Перезагрузите компьютер

Проверьте интернет..

bakytbek 13-01-2012 15:23 1834871
Вложений: 1
Интернета нет,
Антивирус каким-то образом удалился, у меня стоял Eset NOD

akok 13-01-2012 17:14 1834992
CF создает точку восстановления перед своим запуском. Воспользуйтесь ею для восстановления работоспособности системы.

iskander-k 13-01-2012 18:36 1835073
повторите скрипт Комбофикса (он немного изменен)

Код:
DeQuarantine::
C:\Qoobox\Quarantine\c\windows\system32\odbcad32.exe.vir
C:\Qoobox\Quarantine\c\program files\Mail.Ru\Agent\Mra\dll\MousePhone.dll.vir
C:\Qoobox\Quarantine\c\program files\ESET\EGUI.exe.vir
C:\Qoobox\Quarantine\c\documents and settings\Admin\Local Settings\Application Data\Yandex\Updater\praetorian.exe.vir
quit::
лог присоедините к сообщению

снова проверьте интернет-

потом (если не поможет )




скачайте CureIT Запустите компьютер в безопасном режиме и запустите CureIT - удалите\пролечите всё что найдет утилита.

bakytbek 14-01-2012 14:07 1835614
Вложений: 1
Цитата:
Цитата iskander-k
повторите скрипт Комбофикса (он немного изменен)
Код:
DeQuarantine::
C:\Qoobox\Quarantine\c\windows\system32\odbcad32.exe.vir
C:\Qoobox\Quarantine\c\program files\Mail.Ru\Agent\Mra\dll\MousePhone.dll.vir
C:\Qoobox\Quarantine\c\program files\ESET\EGUI.exe.vir
C:\Qoobox\Quarantine\c\documents and settings\Admin\Local Settings\Application Data\Yandex\Updater\praetorian.exe.vir
quit::
лог присоедините к сообщению »
Готово
вот лог

bakytbek 14-01-2012 14:14 1835621
интернета нет до сих пор, сейчас попробую CureIT запустить

Цитата:
Цитата iskander-k
скачайте CureIT Запустите компьютер в безопасном режиме и запустите CureIT - удалите\пролечите всё что найдет утилита. »
Утилита CureIT у меня не запускается в безопасном режиме, он у меня запустился в обычном

bakytbek 14-01-2012 14:57 1835666
проверил утилитой CureIT, ничего не обнаружено. интернета нет

SolarSpark 14-01-2012 16:11 1835725
запомните/запишите свои настройки подключения

.Воспользоваться программой WinsockFix (скачать в зависимости от системы) http://kts-samara.ru/st6.html
Программа делает следующее:
1. Отключает все сетевые адаптеры.
2. Удаляет из реестра ключи Winsock и Winsock2, заменяя нужные параметры исходными значениями согласно "чистой" установке XP, чтобы запустить повторное построение службы Winsock, включая создание таблиц маршрутизации командой Netsh int ip reset resetlog.txt.
3. Разрешает работу сетевых адаптеров.
4. Проверяет файл HOSTS на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1).

Как пользоваться:

1. Запустить.
2. Нажать Reg-Backup для сохранения настроек реестра. (не обязательно)
3. Нажать Fix
4. Перезагрузиться.
5. Восстановить сетевые настройки.

отпишитесь о проблеме


Время: 16:14.

Время: 16:14.
© OSzone.net 2001-