Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не выйти в интернет из-за вируса (http://forum.oszone.net/showthread.php?t=177412)

coucheen 05-06-2010 00:51 1427644
Не выйти в интернет из-за вируса
 
Здравствуйте. Проблема следующая: в один день неожиданно стало не возможным выйти в интернет, в IE исчезла строка меню (вместо нее просто дыра, через кот. виден рабочий стол), а Opera просто перестала открываться ввиду какой-то ошибки. (Windows XP Home).
Я подумала, что это вирус, врубила avast на скан, и он таки обнаружил несколько, а я их всех с перепугу поудаляла (наверное,зря). Помню, что среди них были трояны, вин32, malware.
Интернет работает только в безопасном режиме с загрузкой сетевых драйверов. Нашла ваш сайт, снесла аваст, скачала Kaspersky Virus Removal Tool и CureIt, просканировала - и снова вирусы, и снова паника, и снова все вредоносные файлы удалила, по рекомендации каспер.
Результат: в нет по-прежнему в нормальном режиме не выйти, не зайти на сайт антивирусников, хотя строка меню в IE вернулась.
Буду очень благодарна за помощь.

coucheen 05-06-2010 01:20 1427659
Логи

MotherBoard 05-06-2010 01:58 1427668
Здравствуйте.
Выполните скрипт в AVZ
Меню файл/выполнить скрипт(скопировать туда текст)/ запустить...

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\72903692.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\53908682.sys','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.
Комп перезагрузится

выполните скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Что с проблемой?

Сделайте новые логи AVZ плюс лог RSIT(http://images.malwareremoval.com/random/RSIT.exe)

thyrex 05-06-2010 09:52 1427722
Сделайте логи полиморфным AVZ (ссылка в подписи)

coucheen 05-06-2010 18:02 1427970
Проблема в лучшую сторону не изменилась, более того IExplorer после открытия страницы через несколько секунд закрывается, невозможно открыть папки с рабочего стола и приложения (долго думает), плюс стало выскакивать окошко где программа по распознаванию подлинности виндоус не может завершить проверку.

новые логи

coucheen 05-06-2010 18:08 1427976
Боюсь, что придется переустанавливать винду((

Логи полиморфным AVZ:

Drongo 05-06-2010 18:39 1428008
Цитата:
Цитата coucheen
Боюсь, что придется переустанавливать винду(( »
давайте попробуем этот скрипт.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 ExecuteRepair(13);
 ExecuteRepair(20);
RebootWindows(true);
end.
Создаём батник, файл с расширением .bat - RegScatic.bat. Содержимое такое:
Код:
@echo off
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes" /s>>Static_Reg.txt
exit
Сохраняем и запускаем. Ждём отработки, рядом с созданым файлом появится файл - Static_Reg.txt. Прикрепите к сообщению.

Повторите логи и что с проблемой?

coucheen 05-06-2010 19:36 1428061
Цитата:
Цитата Drongo
Создаём батник, файл с расширением .bat - RegScatic.bat. »
простите, но я чего-то туплю..
можно подробнее

Drongo 05-06-2010 20:53 1428123
Вложений: 1
Цитата:
Цитата coucheen
можно подробнее »
Правой кнопкой мыши по рабочему столу - Создать - Текстовый файл.тхт - создаём, вставляем текст
Код:
@echo off
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes" /s>>Static_Reg.txt
exit
Меняем расширение с .txt на .bat - запустить на выполнение двойным щелчком.

Или скачать архив, запускать предварительно распаковав архив.

coucheen 05-06-2010 21:14 1428134
Спасибо, разобралась
Значит так, коротко: в норм режиме появился интернет (о,да!), комп летает, не тормозит, но по-прежнему нет доступа к сайтам антивирусникам, и "соединение" переодически прерывается, т.е. раз, и експлорер не может отобразить страницу.
еще у меня комп не защищен, боюсь подцепить еще чего

Drongo 05-06-2010 21:53 1428164
Цитата:
Цитата coucheen
Спасибо, разобралась »
Ооо, так вы девушка. :)

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 ExecuteRepair(20);
RebootWindows(true);
end.
Или если не поможет, тогда эту команду:

Пуск – Выполнить - вввести route –f, нажать ОК и перезагрузиться

После чего сделайте контрольные логи и файл Staic_Reg.txt.

coucheen 05-06-2010 23:16 1428229
да я с открытия темы дала знать, дабы подробнее объясняли)

сделала - ничего.

Drongo 06-06-2010 00:15 1428270
Эту команду выполняли?
Цитата:
Пуск – Выполнить - вввести route –f, нажать ОК и перезагрузиться

coucheen 06-06-2010 00:33 1428282
да, выполняла - тоже самое

thyrex 06-06-2010 01:31 1428313
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

coucheen 06-06-2010 18:27 1428739
есть

thyrex 06-06-2010 18:40 1428745
Скачайте полиморфный AVZ (ссылка в моей подписи)

Выполните скрипт в полиморфном AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\nJkY2Ht.exe','');
QuarantineFile('C:\WINDOWS\system32\ywWV5ol.exe','');
QuarantineFile('C:\WINDOWS\system32\moPdI20.exe','');
QuarantineFile('C:\WINDOWS\system32\bVlqO0Z.exe','');
DeleteFile('C:\WINDOWS\system32\ywWV5ol.exe');
DeleteFile('C:\WINDOWS\system32\moPdI20.exe');
DeleteFile('C:\WINDOWS\system32\bVlqO0Z.exe');
DeleteFile('C:\WINDOWS\system32\nJkY2Ht.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Проверьте доступ к сайтам

Сделайте новые логи RSIT

coucheen 06-06-2010 19:03 1428759
скрипты-то я выполнила, но как же я отправлю что-то в касп лаб, если у мя перекрыт доступ к любым сайтам антивирусных програм?

MotherBoard 06-06-2010 19:21 1428774
Цитата:
Цитата coucheen
скрипты-то я выполнила, но как же я отправлю что-то в касп лаб, если у мя перекрыт доступ к любым сайтам антивирусных програм? »
отправьте на электронный адрес: newvirus@kaspersky.com :)

coucheen 06-06-2010 19:25 1428775
о, спасибо, попробую)

thyrex 06-06-2010 19:25 1428776
coucheen, после выполнения первого скрипта ничего не изменилось? Выполняли в полиморфном AVZ?

coucheen 06-06-2010 19:47 1428790
да, выполнила именно в полиморфном AVZ, изменений нет.
команда route-f - тоже ничего
curelit вирусов больше не обнаруживает (поставила сегодня на полное сканирование)
отправила письмо в лаб касп, вот и жду сейчас ответа (интересно, суток хватит?)
так вот, я и думаю, может, повреждение столь серьезно, что проще переустановить винд?

А вот и ответ:

Цитата:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

53908682.sys,
72903692.sys

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

thyrex 06-06-2010 19:52 1428794
Это скорее ответ на первое послание

Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1

coucheen 06-06-2010 19:56 1428800
Цитата:
Сделайте такой лог http://virusinfo.info/showpost.php?p=457118&postcount=1
чего-то ссылка не открывается

MotherBoard 06-06-2010 20:14 1428816
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Только если не знаете подозрительного файла, ничего не удаляйте.. просто выложите лог..

coucheen 06-06-2010 22:46 1428931
Anti-Malware нашел целу кучу всягого гэ, не знаю все или не все удалять..
Вопрос, почему curelit этого не увидел?

thyrex 06-06-2010 23:08 1428955
Запустите МВАМ. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты)

Отметьте все пункты, кроме
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
и нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.

MotherBoard 06-06-2010 23:28 1428976
Цитата:
Цитата coucheen
Вопрос, почему curelit этого не увидел? »
curelit лечит Файловый вирус, а тут прочая нечисть...

coucheen 06-06-2010 23:35 1428979
удалила все объекты, кроме

Цитата:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter
Для проверки зашла на avast.ru - получилось! ну.. не знаю.. уже можно радоваться?))

iskander-k 07-06-2010 00:31 1429013
Обновите АВЗ и сделайте новые логи АВЗ.

coucheen 07-06-2010 01:03 1429033
вот, гляньте

thyrex 07-06-2010 01:19 1429043
Логи сделаны в безопасном режиме. Переделать в нормальном

coucheen 07-06-2010 09:47 1429163
извините, вот

thyrex 07-06-2010 10:28 1429187
Настройки сканирования не меняли случайно?

coucheen 07-06-2010 17:12 1429456
настройки не меняла, а что там? я ведь правильно поняла, что выполняются сначала 3, затем, после перезагрузки 2 скрипты? кстати, сегодня новая фишка: утром выключила комп (завершение работы) и ушла, а вернувшись (часов через 5), обнаруживаю, он так и не вырубился, огни горят, пришлось ткнуть в power. И вчера то же самое было.

thyrex 07-06-2010 17:26 1429465
Попробуйте в настройках сканирования AVZ убрать метку с поиска руткитов и сделайте новые логи

coucheen 07-06-2010 17:46 1429479
если я все сделала правильно, то вот:

coucheen 07-06-2010 22:25 1429630
Ребята, программисты, вы простите меня за наглость, но скажите, мне есть смысл дальше ждать от вас помощи, или обратиться напрямую к специалисту?
Но в любом случае, спасибо уже за то, что вы сделали!

thyrex 07-06-2010 22:42 1429639
По логам ничего плохого. Но логи не до конца выполняются. Причину я определить не могу :(

coucheen 07-06-2010 23:08 1429656
вобщем-то изначальная проблема устранена - есть инет, есть сайты антивирусов, а то, что происходит сейчас, возможно, последствия вирусной атаки, хотя не знаю..
неужели аваст так тупит?

MotherBoard 07-06-2010 23:21 1429664
Это уже необязательно программная проблема, может быть и железная..
пересмотреть настройки BIOS нужно, особенно что касается настроек по питанию...

coucheen 10-06-2010 22:30 1431791
добрый весчер, уважаемые! спешу, сообщить о том, что проблема возобновилась...
все то же не попадание на сайты антивирусников плюс просто виснет интернет (IE, MFF).
гляньте, если не затруднит

MotherBoard 10-06-2010 22:50 1431801
Здравствуйте.
Выполните скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\htgssrk.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\xb4rkmp.exe','');
 DeleteFile('\\?\globalroot\systemroot\system32\htgssrk.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\xb4rkmp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Комп перезагрузится.
выполните скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Профиксите в HJT

Код:
R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,\\?\globalroot\systemroot\system32\hTgSsrK.exe,\\?\globalroot\systemroot\system32\xb4rKMP.exe,

Удалите что сказал MBAM:
не трогайте только это:
Код:
Объекты реестра заражены:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Что с проблемами?

coucheen 10-06-2010 23:45 1431841
я удалила то, что нашел МВАМ и выполнила скрипты, не знаю, есть ли смысл отправлять карантин в касп лаб - я еще предыдущего ответа не дождалась..

а проблема ушла)

Спасибо за помощь! подскажите, как теперь избежать всего этого?

MotherBoard 10-06-2010 23:51 1431844
Удалите MBAM через Пуск/панель управления/ Установка и удаление программ..
И переустановите антивирус, а то там похоже повреждён важный файл...

Не сидите за компьютером с правами администратора...
Для тех же просторов инета можно создать ограниченную учётную запись
скачайте Mоzilla Firefox и NoScript
Регулярно обновляйте ОС и антивирус

coucheen 11-06-2010 21:41 1432471
Спасибо! попробуем..

MotherBoard 11-06-2010 22:10 1432487
Всегда пожалуйста! :)


Время: 05:19.

Время: 05:19.
© OSzone.net 2001-