Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не обновляется AVZ, нельзя зайти на его сайт и сайт Касперского... (http://forum.oszone.net/showthread.php?t=175252)

Ixtance 09-05-2010 16:18 1409915
Не обновляется AVZ, нельзя зайти на его сайт и сайт Касперского...
 
Вложений: 2
Здравствуйте.

С праздником Победы!

У меня стандартная проблема: не обновляется AVZ (cм. скриншот), также невозможно зайти на сайт AVZ, русский сайт Касперского... и, собственно, всё – других неприятностей не заметил. Началось давно, сильно не мешает, но неприятно.

Надеюсь на вашу помощь, ибо свежий CureIt с Касперским 7.0 ничего толкового сделать не смогли.

thyrex 09-05-2010 17:38 1409956
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\windows\system32\actcontroller.exe,c:\windows\system32\85a94bd1.exe,\\?\globalroot\systemroot\system32\9pn4th7.exe,\\?\globalroot\systemroot\system32\a2l8tft.exe,
O2 - BHO: (no name) - {4B65A05F-5C7B-4F53-9CC1-7100E06149BC} - (no file)
O2 - BHO: Flash Module - {B9249083-6055-476c-A69D-13E110BFEA91} - tconn1.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\actcontroller.exe','');
 QuarantineFile('c:\windows\system32\ntos.exe','');
 QuarantineFile('c:\windows\system32\85a94bd1.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
 QuarantineFile('msupdate.sys','');
 QuarantineFile('ICF.sys','');
 DeleteFile('msupdate.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
 DeleteFile('c:\windows\system32\85a94bd1.exe');
 DeleteFile('c:\windows\system32\ntos.exe');
 DeleteFile('c:\windows\system32\actcontroller.exe');
DeleteService('runtime2');
 DeleteService('ICF');
DeleteService('protect');
 DeleteService('msupdate');
 DeleteFile('ICF.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Ixtance 12-05-2010 19:55 1411845
Спасибо, проблема решена. Писать ответ лаборатории Касперского, равно как и прикреплять новые логи, думаю, не имеет смысла.

Drongo 12-05-2010 20:54 1411882
Ixtance, Имеет, имеет. :yes: Нужно удостовериться, что нигде ничего не забыто. Это как проверка, что хирург в животе скальпель случайно не оставил. :teeth:

Ixtance 13-05-2010 13:40 1412339
Вложений: 2
Хорошо.

thyrex 13-05-2010 15:29 1412401
Пофиксите в HiJack
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\7WaV7FU.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\7WaV7FU.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\7WaV7FU.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Выполните скрипт в AVZ
Код:
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'wuauserv.log');
end.
Лог wuauserv.log прикрепите к сообщению

Сделайте новые логи

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.

Ixtance 13-05-2010 22:57 1412755
Вложений: 3
Сделал.

thyrex 13-05-2010 23:00 1412757
Лог ComboFix где? В этих логах ничего подозрительного

Ixtance 14-05-2010 09:10 1412975
Вложений: 1
Извиняюсь, забыл. :)

thyrex 14-05-2010 09:28 1412985
c:\windows\system32\srsvc.dll проверьте на virustotal
Ссылку на результат проверки сообщите

Ixtance 14-05-2010 22:35 1413525
Всё чисто: https://www.virustotal.com/ru/analis...078-1269216003

thyrex 14-05-2010 22:54 1413547
Результат проверки двухмесячной давности. Нужно выбрать повторную проверку

Ixtance 15-05-2010 08:52 1413703
Не понял. Я проверил там свой файл, полученную ссылку запостил. Что ещё от меня требуется?

thyrex 15-05-2010 09:26 1413714
Цитата:
получен 2010.03.22 00:00:03
Где-то на странице проверки должна быть кнопка Повторить проверку или что-то подобное

Ixtance 16-05-2010 16:38 1414559
https://www.virustotal.com/ru/analis...078-1274013376

Drongo 16-05-2010 17:30 1414585
Файл чистый

thyrex 16-05-2010 19:19 1414644
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

Ixtance 17-05-2010 17:02 1415230
Всё сделал.

Я так понимаю, нужно снова выложить логи?

Drongo 17-05-2010 17:23 1415246
Ixtance, Да, контрольные логи.

Ixtance 17-05-2010 22:28 1415514
Вложений: 1
Есть.

Drongo 18-05-2010 19:03 1416195
Ixtance, Вот рекомендации.

HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\rQTG7XT.exe,
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\rqtg7xt.exe','');
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 DeleteFile('C:\WINDOWS\winstart.bat');
 DeleteFile('\\?\globalroot\systemroot\system32\rqtg7xt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(16);
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи.

Ixtance 21-05-2010 13:39 1418128
Вложений: 2
Так.

Drongo 21-05-2010 15:16 1418221
Ваши DNS ? Если нет, то пофиксить.
Цитата:
O17 - HKLM\System\CCS\Services\Tcpip\..\{76240503-8747-47CB-AC01-7628A6A8FFB1}: NameServer = 8.8.8.8,8.8.4.4
Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 ClearQuarantine;
 ExecuteRepair(1);
 ExecuteRepair(6);
 RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

thyrex 21-05-2010 22:21 1418488
Цитата:
Цитата Drongo
Ваши DNS ? Если нет, то пофиксить. »
Это Google Open DNS

Drongo 22-05-2010 13:46 1418757
Цитата:
Цитата thyrex
Это Google Open DNS »
Блин, точно, забыл. :gigi:

Ixtance 24-05-2010 18:44 1420114
Вложений: 1
Готово.

Ixtance 26-05-2010 21:11 1421807
Вложений: 1
Что, неужели всё чисто и ничего больше делать не надо? :)

К несчастью, нерадивый пользователь заразил сабжем другой компьютер. :(
Симптомы те же: не обновляется AVZ и т.д.

Вот его логи:

thyrex 26-05-2010 21:38 1421830
В первых логах нничего плохого не видно


Теперь по второму

Пофиксите в HiJack
Код:
R3 - URLSearchHook: (no name) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Windows\Temp\init.exe,\\?\globalroot\systemroot\system32\RS6pcj9.exe,\\?\globalroot\systemroot\system32\wFYSzzS.exe,
O2 - BHO: (no name) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - (no file)
O3 - Toolbar: (no name) - {bc4be15d-6a34-4356-9e97-79e43da32b1d} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\wFYSzzS.exe','');
 QuarantineFile('C:\Windows\Temp\init.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysmon32.exe','');
 DeleteFile('C:\WINDOWS\system32\sysmon32.exe');
 DeleteFile('C:\Windows\Temp\init.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\wFYSzzS.exe');
DeleteService('sysmon32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Ixtance 30-05-2010 11:00 1423880
Вложений: 1

thyrex 30-05-2010 11:30 1423894
Плохого не видно. Что с проблемой?

Ixtance 30-05-2010 21:01 1424200
И проблемы нет. :)

thyrex 30-05-2010 23:15 1424304
Установите Internet Explorer 8 (даже если им не пользуетесь)

Ixtance 31-05-2010 20:17 1424873
Нет уж, спасибо.

Drongo 31-05-2010 21:04 1424907
Ixtance, Тогда отмечайте тему решённой. :)


Время: 08:54.

Время: 08:54.
© OSzone.net 2001-