Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] блокируються сайты антивирусных программ, KidoKiller не помог (http://forum.oszone.net/showthread.php?t=170562)

user1212 18-03-2010 20:07 1371765
блокируються сайты антивирусных программ, KidoKiller не помог
 
Домашний ПК
машина тормозит и странно себя ведет: блокируються сайты антивирусных программ, процесс Opera остаеться активным даже после закрытия браузера, часто в opera не работает окно выбора пути (после нажатия на "открыть" или "сохранить" ничего не происходит), окно Internet explorer появляеться только после второго запуска браузера.
Сканирование CureIt и Kaspersky Virus removal tool не помогли, ровно как и сканирование KidoKiller'ом

user1212 18-03-2010 20:15 1371770
Вложений: 1
логи

Drongo 18-03-2010 20:31 1371787
user1212, Выполните рекомендации.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\yxxqu4b.exe,\\?\globalroot\systemroot\system32\n7r6abk.exe,
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\','');
 QuarantineFile('\\?\globalroot\systemroot\system32\n7r6abk.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-5003298383-9300882897-907112103-5759\nissan.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-5003298383-9300882897-907112103-5759\nissan.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\n7r6abk.exe');
 DeleteFile('\\');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(11);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

После чего скачайте AVZ и сделайте логи скрипты.

user1212 19-03-2010 02:06 1371985
Вложений: 1
Ответ:
n7r6abk.exe - Trojan.Win32.Scar.btuw

This file is detected by the latest antivirus databases.

Best regards, Kaspersky Lab



F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\yxxqu4b.exe,\\?\globalr oot\systemroot\system32\n7r6abk.exe

будучи fixed, эта строка при повторном сканировании появляеться вновь, т.е., как я понял, троян моментально восстанваливает этот файл

sanek_freeman 19-03-2010 09:49 1372138
user1212, здравствуйте.

Удалите в МВАМ следущие строки:
Код:
Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено папок:
C:\Documents and Settings\Администратор\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Program Files\VVSN (Adware.WhenU) -> No action taken.
C:\Program Files\VVSN\URL1 (Adware.WhenU) -> No action taken.

Заражено файлов:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\avdrn.dat (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> No action taken.
Затем повторите логи МВАМ, AVZ, HijackThis. Что с проблемой?

user1212 19-03-2010 15:51 1372449
Вложений: 2
Обновить базы avz не удалось, т.к. сайты антивирусных программ все еще заблокированы
использую AVZ версии 4.32 от 21.08.2009, дата сборки всех баз AVZ 21.08.2009

кстати, в папке windows\system32\drivers\etc нет файла hosts, есть только файл lmhosts. это тот же файл?

opera вроде-бы стала работать нормально

sanek_freeman 19-03-2010 16:06 1372473
user1212, скачайте AVZ отсюда. Затем сделайте с помощью него новые логи.

user1212 19-03-2010 17:02 1372534
спасибо, sanek_freeman, но "Сервис iFolder приостановлен следователями 3-й СЧ ГСУ при ГУВД Москвы."))

iskander-k 19-03-2010 17:55 1372563
Цитата:
Цитата user1212
но "Сервис iFolder приостановлен следователями »
user1212, Вот АВЗ базы сегодняшние(только что обновил.) скачать извлечь из архива и запустить АВЗ.

user1212 19-03-2010 20:22 1372679
спасибо, iskander-k

thyrex 19-03-2010 20:47 1372694
Логи выложены старые

user1212 20-03-2010 00:28 1372853
извиняюсь, перепутал папки

iskander-k 20-03-2010 00:37 1372859
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ExecuteRepair(20);
RebootWindows(true);
end.

user1212 20-03-2010 01:11 1372877
огромное спасибо, проблема решена

thyrex 20-03-2010 11:17 1373052
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый

user1212 20-03-2010 17:14 1373254
так и сделаю
всем спасибо за помощь!


Время: 05:40.

Время: 05:40.
© OSzone.net 2001-