Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Блокированы сайты антивирусов (http://forum.oszone.net/showthread.php?t=165188)

sanich11 28-01-2010 12:16 1332224
Блокированы сайты антивирусов
 
Вложений: 1
История такая; на компе стояло 2 операционки ХР, на разных физических дисках, одна рабочая, другая на подхвате, 1.5 года пользовался только Outpost и сканером кюрейт, все сходило с рук, по мере возникновения глюков, даже если нельзя было загрузиться с основной, рабочей, грузился со второй ОС и сканером все восстанавливал до хорошего состояния. Со временем, видимо ошибки накапливались и я снес обе ОС, данные, для сохранения, гонял с раздела на раздел, даже 3-й диск подключал. В уме про себя держал, поставлю новую ОС и сразу проверю данные, чтобы с собой не притащили заразу, так и сделал, ... но вирусы прихватил с собой.
И теперь, после двухнедельного восстановления рабочей конфигурации, все стремительно катиться в пропасть, глюки медленно, но верно начинают возникать. А главная схожесть с прошлой ситуацией, это пропажа связи с сайтами антивирусов. Новое - это минутная заминка при загрузке на этапе приветствия и невозможность безопасного извлечения флэшки (одну уже спалил).
Ниже привожу результаты сканирования по FAQ и терпеливого объяснения из личной переписки с Drongo, за что ему отдельное спасибо, не у каждого хватит терпения общаться с бестолковым.
PS. есть еще логи SalityKiller, VirutKiller и gmer_log (их наверно надо архивировать?)

Drongo 28-01-2010 12:43 1332249
Цитата:
Цитата sanich11
PS. есть еще логи SalityKiller, VirutKiller и gmer_log (их наверно надо архивировать?) »
Да так и выкладывали бы. У вас файловый вирус. Как я и предполагал. :(

Предварительные рекомендации перед лечением:

Отключите интернет и локальную сеть если таковая имеется.
  1. Очистите временные файлы.

    Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
    - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли.

  2. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск => Программы => Стандартные => Служебные => Очистка диска, выберите системный диск, на вкладке Дополнительно => Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Как это сделать, подробно можно прочитать в этой теме.


Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('asc3360pr');
 QuarantineFile('C:\WINDOWS\system32\drivers\lnrlki.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\lnrlki.sys');
 DeleteService('asc3360pr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.


Теперь ОБЯЗАТЕЛЬНО сделайте эти рекомендации.

Скачайте на здоровом компьютере утилиту от DrWeb - CureIT!. Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска). Сделайте полную проверку заражённого компьютера в режиме Safe Mode, затем в нормальном.

sanich11 28-01-2010 18:21 1332637
Цитата:
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com. Результаты ответа, сообщите здесь, в теме.
Вот ответ

Цитата:
Здравствуйте, В присланном Вами файле не найдено ничего вредоносного. -- С уважением, Сергей Прокудин Вирусный аналитик Лаборатории Касперского. e-mail: newvirus@kaspersky.com http://www.kaspersky.com/ http://www.kaspersky.ru/virusscanner - Онлайн тестирование самыми свежими KAV-базами. http://www.kaspersky.com/helpdesk.html - техническая поддержка
После выполнения скриптов, кроме блокировки некоторых прог, ничего не изменилось

iskander-k 28-01-2010 19:07 1332668
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

При выборе удаления - обратите внимание на то что МБАМ может удалить креки.

sanich11 28-01-2010 23:20 1332890
Вложений: 1
Сканировал Malwarebytes Anti-Malware, на сайты по-прежнему ходу нет, я вот что подумал, может имеет значение, в начале работы и кюрейт эта прога затыкаются, сообщая, что не найден какой-то диск, у меня есть виртуальный от денвера, но во втором случае я его исключал из проверки.

Отчет прилагаю:

-------------

sanek_freeman 29-01-2010 11:10 1333266
• Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
- Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.
- Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
- Нажмите No, если вы хотите оставить ваши сохраненные пароли.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ExecuteRepair(20);
 RebootWindows(true);
end.

sanich11 29-01-2010 11:52 1333298
ATF Cleaner, не запускается, очистку временных файлов сделал через "Пуск", выполнил скрипт AVZ
Эффекта не вижу! Сайты блокированы и т.д.

Сдаётся мне, что очистка диска глючит, в корзине почти все остаётся ...

akok 29-01-2010 13:03 1333375
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь


Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

sanich11 29-01-2010 14:38 1333468
Не могу загрузиться в безопасном режиме, к тому же браузер Moz.Firefok перестал открываться, пишу с оперы.

sanich11 29-01-2010 16:41 1333591
Вложений: 1
Привожу результаты сканирования combofix :


----------

sanek_freeman 30-01-2010 11:24 1334101
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ExecuteRepair(10);
 RebootWindows(true);
end.
После выполнения скрипта безопасный режим загружается? Проблемы до сих пор наблюдаются?

sanich11 30-01-2010 15:07 1334270
Вложений: 2
После скрипта можно один раз войти в безопасный режим. Проблемы на месте.
Сделал рекомендации akok:


Цитата:
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению Описание SDFix есть здесь Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Как использовать ComboFix - Руководство по применению Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
---------------------------------
отчёт прилагаю:
-----------
Какая-то хрень атакует порты изнутри аутпост блокирует ARP-деятельность?

thyrex 30-01-2010 20:45 1334520
Вот это выполняли?

Цитата:
Цитата Drongo
Теперь ОБЯЗАТЕЛЬНО сделайте эти рекомендации.
Скачайте на здоровом компьютере утилиту от DrWeb - CureIT! . Разархивируйте и запишите её на CD или DVD (ни в коем случае не записывайте на флэшку! активный вирус повредит утилиту ещё до запуска). Сделайте полную проверку заражённого компьютера в режиме Safe Mode, затем в нормальном. »

akok 30-01-2010 23:33 1334608
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

sanich11 31-01-2010 11:37 1334799
Провел полную проверку DrWeb - CureIT , выполнил:
Цитата:
Цитата akok
Выполнить в окне наберите команду ComboFix /Uninstall »
- сайты антивирусов не доступны по прежнему, хотя в целом, если отбросить это и минутную заминку при загрузке, глюков не видно, но собственно это и было на момент начала моего поста. Правда уже грохнул несколько прог, в том числе и Outpost, но это детали, понять бы в чем дело.
Я тут нахватался умных мыслей, говорят это похоже на вирус EVGEN_SAT, который трудно поймать?
А главное, я уже говорил, что заразу я перенес на новую ОС с данными. Уничтожить ВСЕ - было бы мягко говоря обидно.

sanek_freeman 31-01-2010 13:21 1334869
Хм, давайте еще пройдемся...
  1. Отключите интернет и локальную сеть если таковая имеется.
  2. Очистите временные файлы.
    Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
    • Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    • Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
    • Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
    • Нажмите No, если вы хотите оставить ваши сохраненные пароли.
  3. Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
    • Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    • Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Затем повторите логи AVZ (со свежими базами) и RSIT.
•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

И скажете как обстоят дела после проверок.

sanich11 31-01-2010 17:27 1335131
Вложений: 3
Цитата:
Цитата sanek_freeman
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Затем повторите логи AVZ (со свежими базами) и RSIT.
•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
И скажете как обстоят дела после проверок. »
-----------
Результаты проверок:

thyrex 31-01-2010 20:34 1335287
Файловый вирус типа Sality по-прежнему активен

Ответьте, пожалуйста, на вопрос из сообщения №13

sanich11 31-01-2010 21:03 1335326
На ноутбуке был кюрейт недельной свежести, его записал на диск и с диска провел полную проверку (5 часов), в обычном режиме. Наловил немало, но ...?

thyrex 31-01-2010 22:35 1335419
Тогда пойдем таким путем:
1) скачайте на чистой машине образ DrWeb LiveCD;
2) запишите образ на болванку (записывать как образ, а не как файл);
3) на проблемной машине включите в BIOS загрузку с CD;
4) загрузитесь с созданного диска и пролечитесь.

После этого сделайте новые логи AVZ

sanich11 01-02-2010 14:00 1335885
Прежде всего спасибо всем за участие в моей проблеме!
Попытаюсь рассказать, что делал на последнем этапе и что получилось.
Последним советом по созданию образа DrWeb LiveCD не воспользовался, потому как читая другие сайты для себя уяснил, что многие прерывали такую проверку из-за её длительности, а у меня машинка и так не шибко быстрая, да ещё полная заразы ...
На основе информации полученной от вас (что на моем компе файловый вирус Sality), попробовал вариант предложенный ЗДЕСЬ.
Цитата:
Вариант № 1 Устанавливаем ключи реестра из архива, делаем рестарт в безопасный режим и запускаем программу SalityKiller. Ждём пока программа не скажет нажать любую клавишу. Время проверки и лечения файлов зависит от размера вашего HDD. Данный способ позволит сохранить все файлы, софт, игры и вообще все .exe файлы. Так как salitykiller не удаляет зараженные файлы, а лечит их путём удаления из них вредоносного кода.
Вариант № 2 Записываем Dr.Web на диск (писать не на заражённом PC), туда же записать и ключи реестра. Всё, теперь несём этот диск к больному ПС . Сразу устанавливаем ключи реестра, потом рестарт в безопасный режим (F8) и запуск Dr.web с диска . Возможно Dr.web удалит какие то файлы…
Несколько видоизменив его с учетом знаний полученных на этом форуме:
1. На ноутбуке записал ключи реестра, утилиту salitykiller, последний Dr.web.
2. Ключи оказались бесполезными, поскольку моментально грохались, в безопасный режим, мог попасть только сразу после выполнения скрипта AVZ, как мне советовали здесь:
Цитата:
begin ExecuteRepair(10); RebootWindows(true); end.
3. Запустил salitykiller в безопасном, он нашел кучу Win32.Sality.(так этот вирус называет Касперский)
4. В обычном режиме запустил сканер Dr.web, нашел еще 52 штуки Win32.sector5. (зовет его Dr.web)
5. Еще раз в обычном режиме запустил salitykiller и ЕЩЕ две гадости высветилось.

Дальше ... терпение лопнуло, сейчас все вроде работает, конечно конфигурация потрепанная, но если эта тварь не всплывет, дело поправимо.

Теперь СТО раз задумаюсь, прежде чем вставлять чужую флешку, открывать архивы без проверки...!!!

okshef 01-02-2010 14:18 1335898
sanich11, настоятельно рекомендую выполнить sfc /scannow - проверка целостности системных файлов - .: [все вопросы] :.

sanich11 01-02-2010 18:55 1336154
У меня на компе был скачан через обновления пакет SP3, все время требовал установки, ну и после лечения я его и установил, не знаю умно ли это, но вроде пока работает. Как в этом случае поступить насчет проверки целостности системных файлов? При установке, он вроде, что то подобное проверял.

--------------------------------------
PS.

Журнал системных сбоев выдаёт такую ошибку:

Регистрация сервера {FBA44040-BD27-4A09-ACC8-C08B7C723DCD}
DCOM не прошла за отведенное время ожидания.

Может кто подскажет куда с ней лезть?
-------------------------------------------------------
4.02.2010г

Все равно пришлось переустанавливать систему, очень уж много натворил мне вирус, но хоть данные остались целы.
Но урок получил классный!


Время: 00:47.

Время: 00:47.
© OSzone.net 2001-