[решено] Долгая загрузка и блокировка антивирусных сайтов

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Долгая загрузка и блокировка антивирусных сайтов

Имею Avast 4.8, аваст предупредил о вирусе, я оборвал соединение, но, видимо, не помогло. Были повреждены точки восстановления системы, аваст несколько раз находил вирусы при сканировании в безопасном режиме. Компьютер стал загружатся долго, но после загрузки работал нормально, пока я не обнаружил, что заблокирован вход на антивирусные сайты и при играх стал перегреватся, иногда с отключением (вентилятор я чистил:)). Прошу помочь, у кого есть время и желание. Заранее спасибо. П.С. Логи делал по инструкции, если что не так, переделаю (я - чайник:)). еще раз спасибо.

konus99, Привет. :)
• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe

Если какие-то DNS не ваши пофиксите их

Цитата:

O17 - HKLM\System\CCS\Services\Tcpip\..\{120B73DF-57A6-438D-B92F-CA741955D8CD}: NameServer = 93.188.162.114,93.188.166.102
O17 - HKLM\System\CCS\Services\Tcpip\..\{91B1D63F-9CA7-451D-B296-E4F47F36B39C}: NameServer = 93.188.162.114,93.188.166.102
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.114,93.188.166.102
O17 - HKLM\System\CS1\Services\Tcpip\..\{120B73DF-57A6-438D-B92F-CA741955D8CD}: NameServer = 93.188.162.114,93.188.166.102
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.114,93.188.166.102
O17 - HKLM\System\CS3\Services\Tcpip\..\{120B73DF-57A6-438D-B92F-CA741955D8CD}: NameServer = 93.188.162.114,93.188.166.102
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.114,93.188.166.102

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

 ExecuteRepair(20);

RebootWindows(true);

end.

Повторите логи согласно этим требованиям - Выполните рекомендации и прикрепите к следующему сообщению полученные логи. Незабудьте обновить базы.

И что с проблемой?

Пофиксил строку F2, DNS трогать не стал - они мои. Выполнил скрипт в AVZ, после перезагрузки проблемы остались. Сейчас комп проверяю Д. Вебом в безопасном режиме, уже прошло 19 часов, скорость проверки 13 к/сек. Не знаю нормально ли это, но рeшил дождаться до упора. После всего выставлю новые логи. Спасибо.

Цитата:

Цитата konus99

DNS трогать не стал - они мои »

Уверены? У Вас украинский провайдер с троянскими DNS?

Конечно, не уверен, я же чайник:). Просто посмотрел в настройках network connections - там были выставлены эти DNS. посмотрел на другом компе, через который у меня соединение по роутеру, выставил у себя DNS определять автоматически. Я в Америке (Флорида), в настройках DNS server - 192.168.0.1.
Д.Веб в безопасном режиме за 3 дня так и не проверил (завис), проверил AVPTool, все чисто. Для проверки скачал Essentials, все скачалось и базы обновились, что раньше было невозможно. Но глюки при загрузке остались, начинает загружаться нормально, но потом на 5 минут зависает, причем иконки на рабочем столе работают, а Start и иконки в трее не реагируют (причем засекал по часам, ровно 5 минут).
Прикрепляю новые логи, буду признателен за помощь. P.S. Да, все-таки мне надо пофиксить DNS или нет? Спасибо.

konus99, Выполните рекомендации

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{120B73DF-57A6-438D-B92F-CA741955D8CD}: NameServer = 93.188.162.114,93.188.166.102

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.114,93.188.166.102

O17 - HKLM\System\CS1\Services\Tcpip\..\{120B73DF-57A6-438D-B92F-CA741955D8CD}: NameServer = 93.188.162.114,93.188.166.102

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.162.114,93.188.166.102

O17 - HKLM\System\CS3\Services\Tcpip\..\{120B73DF-57A6-438D-B92F-CA741955D8CD}: NameServer = 93.188.162.114,93.188.166.102

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.114,93.188.166.102

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\DOWNLO~1\CASCAN~1.OCX','');

 DeleteFile('C:\WINDOWS\DOWNLO~1\CASCAN~1.OCX');

 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E6BB2089-163F-466B-812A-748096614DFD}');

BC_ImportAll;

RebootWindows(true);

BC_Activate;

end.

После выполнения скрипта, как чувствует себя комп?

К сожалению, также плохо:(. После входа в систему, загружается Avast, какое-то время кнопка Start и иконки в трее реагируют, потом все опять зависает на 5 минут, даже часы не работают. Потом все восстанавливается, появляется значок аудио и подключенного интернета, дальше компьютер работает нормально. В тулбаре Yahoo есть ссылка на онлайн сканирование от компании СА, я особо не доверяю такому сканированию, могут что угодно показать, лишь бы продукт купили, но все же вдруг поможет. Вот что выдало в рапорте:
CA Threat Scanner Results
Threat Name Threat Level Threat Location
Zbot High File "c:\windows\system32\twain32\user.ds"
uTorrent High Folder "c:\documents and settings\alex\application data\utorrent"
Zbot High Folder "c:\windows\system32\lowsec"
Antivirus 7 Unknown Folder "c:\program files\av7"
Zbot High File "c:\windows\system32\twain32\local.ds"
Kollah High Key "hkey_local_machine \software\microsoft\windows nt\currentversion\network" value "uid"
Alureon Medium Key "hkey_local_machine \software\_void"
Grokster Medium Key "hkey_classes_root \magnet"
Все остальное - это cookies, Antivirus 7 не устанавливал, показывает, что папка пустая, uTorrent использую.

P.S. Drongo, спасибо за помощь, а то я уже как тот несознательный механик стал комп крестить:)

Простите, файл hijackthis в rar сделал. Вот...

Сделайте лог МВАМ

Удалите в МВАМ

Код:

Registry Keys Infected:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\_VOID (Rootkit.TDSS) -> No action taken.



Registry Values Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Trojan.Agent) -> No action taken.



Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{120b73df-57a6-438d-b92f-ca741955d8cd}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.114,93.188.166.102 -> No action taken.



Folders Infected:

C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.

C:\WINDOWS\_VOIDulbdrtfnln (Rootkit.TDSS) -> No action taken.



Files Infected:

C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.

C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\All Users\Favorites\_favdata.dat (Malware.Trace) -> No action taken.

Сделайте новый лог МВАМ

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Все выполнил

Drongo, thyrex - большое спасибо!!! Перегрузил комп 2 раза, загрузка около минуты-полторы, часы работают. Интернет стал намного быстрее. Думаю проблема решена. Еще раз огромное спасибо.

P.S. Если будут какие-то советы по антивирусной защите - буду очень признателен.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

thyrex, У меня почему то Windows не находит файла ComboFix/Unistall

Удалите так

Цитата:

Цитата thyrex

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up»

Все удалилось, спасибо.

konus99, Если проблема решена, отмечайте тему решённой. :)