Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Не открывались сайты антивирусов и сайт микрософт (http://forum.oszone.net/showthread.php?t=134471)

Dimka1982 11-03-2009 22:33 1061032
Не открывались сайты антивирусов и сайт микрософт
 
Вложений: 1
Появился вирус. Постоянно слал куда то процесс svhost.exe.. блочить получалось только фаерволом.
Так же невозможно было зайти ни на один сайт антивирусов, и оф. сайт майкрософт..

логи прилагаю

Pili 11-03-2009 23:16 1061078
Dimka1982, Здравствуйте.
Target Marketing Agency деинсталлируйте.
Проверьте на virustotal.com файлы
C:\WINDOWS\system32\DRIVERS\update.sys
C:\WINDOWS\system32\drivers\splitter.sys
ссылку на рез-ты проверки выложите.
Предварительно, для предотвращения заражения в ходе лечения, отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
 DeleteFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll');
 DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
 DelBHO('{E0E899AB-F487-11D5-8D29-0050BA6940E3}');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
В логах у вас видны остатки Outpost Firewall, см. Инструкции по расширенной деинсталляции и переустановке Outpost ..., также, если хотите остатки можено будет удалить скриптом.
AGAVA Firewall рекомендую временно отключить или деинсталлировать (чтобы не мешал) и включить брандмауэр windows, DrWeb временн отключите и проверьтесь с помощью KidoKiller

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Dimka1982 21-03-2009 15:44 1070340
Вложений: 2
Все сделал.
Логи GMER выложить не могу, так как после окончания длительного сканирования, комп автоматом вылетает из инета, и еще после этого полностью блокируется доступ к любым файлам и дискам. Тоесть ничего не создать и никуда не скопировать. Спасает только кнопка Reset...

thyrex 21-03-2009 19:01 1070487
А сделать этот лог при отключенном Интернет не получается тоже? Если это не так, то сделайте лог

Pili 23-03-2009 08:39 1071667
Dimka1982, у вас kido, утилитой kidokiller строго по инструкции проверялись? По логу combofix у вас не сошлись сигнатуры некоторых системных файлов, установите SP3 и все последующие обновления

Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
Driver::
nvnmo

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33104ea1-b83f-11db-9552-00179a300101}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33104ea2-b83f-11db-9552-00179a300101}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5876:TCP"=-
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Скачайте DDS DDS.scr, DDS.pif или DDS.com сохраните на рабочий стол, отключите антивирус и запустите DDS, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение.
Сделайте лог gmer.


Время: 02:42.

Время: 02:42.
© OSzone.net 2001-