Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Браузер не открывает сайты антивирусов (http://forum.oszone.net/showthread.php?t=247586)

_A_G_ 24-11-2012 12:07 2031690
Браузер не открывает сайты антивирусов
 
Вложений: 3
Началось с того, что на usb-флешке все папки превратились в ярлыки. (Без моего участия.) Часть файлов на рабочем столе тоже. Антивирус на компьютере не стоит. Попытался скачать и установить антивирус, но сайты с антивирусами не открываются. Проверил файл hosts в папке C:\WINDOWS\system32\drivers\etc - вроде нормальный. Я так понял, что это Kido-вирус или Троян.
В прикрепленных файлах конфигурация компьютера и необходимые логи.

alex_sev 24-11-2012 14:06 2031767
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\admin\Application Data\Pvdkdz.exe','');
 DeleteFile('C:\Documents and Settings\admin\Application Data\Pvdkdz.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Pvdkdz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

_A_G_ 24-11-2012 23:47 2032175
Вложений: 3
Не ожидал, что вы так быстро отреагируете!
Вот:

Security Check by glax24 version 0.1.3.35 beta
WebSite: www.safezone.cc
DataLog 24.11.2012 23:37:33
Program directory: C:\Documents and Settings\admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.8
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 3
Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
HijackThis 2.0.2 v.2.0.2
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Reader 7.0.8 v.7.0.8 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
-------------RunningProcess-----------------------
C:\Documents and Settings\admin\Local Settings\Application Data\Google\Chrome\Application\chrome.exe v.23.0.1271.64
-------------EndLog-------------------------------

thyrex 25-11-2012 00:33 2032199
Удалите вручную (или запустив повторное сканирование в МВАМ и отметив указанный пункт)
Код:
H:\RECYCLER\40109cb.exe (Trojan.Agent) -> Действие не было предпринято.

alex_sev 25-11-2012 12:08 2032376
+

пройдитесь по ссылкам из лога и скачайте обновления

_A_G_ 27-11-2012 19:28 2034117
Спасибо за помощь!
Правда папки на флешке, так и отображаются в виде ярлыков. Зато сайты антивирусов снова стали открываться.

regist 27-11-2012 20:06 2034148
+ Создайте в корне флешки текстовый документ следующего содержания
Код:
attrib "*" -s -h /S /D
смените расширение файла на .bat запустите его, отпишитесь что с проблемой.

_A_G_ 29-11-2012 20:03 2035491
На usb-флешке было несколько папок с файлами. Именно папок. Потом флешку запускали на другом компьютере. Когда я снова запустил её у себя - все папки, почему-то стали отображаться как ярлыки. Если открыть ярлык - там все файлы на месте. При этом, если открывать флешку через проводник - там пустая флешка, без папок.
С помощью Antimalware нашел вирус на флешке: H:\RECYCLER\40109cb.exe (Trojan.Agent) и удалил его. После этого ярлыки перестали открываться, ссылаясь на удаленный файл. Тогда я ввёл в адресной строке путь к одной из папок, которые были на флешке - и папка открылась. Эта папка, кстати, появилась и в древе файлов в проводнике. Так, если вводить имя каждой папки - они все появятся в древе файлов. Но когда выходишь из папки обратно - в окне её нет.
Получается, что папки с файлами на флешке есть, но их не видно. Даже если включить отображение скрытых файлов. Зато видно ярлыки, созданные вирусом.
Создал и запустил файл, как вы написали. Вышло окно командной строки с текстом H:\attrib "*" -s -h /S /D и всё.

_A_G_ 29-11-2012 20:57 2035536
Извиняюсь. Поторопился с выводами. Запустил флешку ещё раз. Там все папки снова стали видны и открываются по-нормальному. Спасибо!
А что за команда такая хитрая "attrib "*" -s -h /S /D"? Что она делает, в смысле исправляет?

alex_sev 29-11-2012 21:45 2035565
Перевод на русский:
Цитата:
Аттрибуты, минус системный, минус скрытый, рекурсия, директории
http://www.windowsfaq.ru/content/view/253/57/

Цитата:
Цитата _A_G_
С помощью Antimalware нашел вирус на флешке: H:\RECYCLER\40109cb.exe (Trojan.Agent) и удалил его. После этого ярлыки перестали открываться, ссылаясь на удаленный файл. »
стало быть вы вручную запускали червя


Время: 10:28.

Время: 10:28.
© OSzone.net 2001-