Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не могу зайти на сайты антивирусов и ещё с десяток других (http://forum.oszone.net/showthread.php?t=177617)

Sega555 07-06-2010 22:10 1429623
Не могу зайти на сайты антивирусов и ещё с десяток других
 
Вложений: 1
С месяц назад поймал СМС информер, в безопасном режиме его удалил, но после этого перестало пускать на сайты местные, например sespel.ru(сайт кинотеатра), сегодня нужно было зайти на сайт drweb.com, и не смог, перепробЫвал все сайты антивирусов, ни на один не смог зайти. При логах висел Nod32, так как 4 не дает возможность выгрузить себя. CureIt не нашел ничего кроме запускных файлов UServ(ФТП).
Файлы прикрепляю согласно правилам.

MotherBoard 07-06-2010 22:21 1429627
Здравствуйте, выполните скрипт


Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\docume~1\sega55~1.seg\locals~1\temp\espab76.tmp','');
 DeleteFile('c:\docume~1\sega55~1.seg\locals~1\temp\espab76.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
комп перезагрузится

выполните скрипт

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксите в HJT(http://virusnet.info/forum/showthread.php?t=9)
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\W2mYXKr.exe,\\?\globalroot\systemroot\system32\KR1e6BO.exe,\\?\globalroot\systemroot\system32\RPznnLh.exe,\\?\globalroot\systemroot\system32\aLXUSDo.exe,\\?\globalroot\systemroot\system32\bEDrdDE.exe,
O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
IP адреса ваши?
192.168.0.1 77.240.144.164,77.240.148.1

если нет, то профиксьте
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{61340011-B32E-4C40-B65C-3D9E2278D428}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{81B8EF1A-2F5C-4636-B28B-26F39701A724}: NameServer = 77.240.144.164,77.240.148.1
Сделайте новые логи AVZ плюс лог RSIT
нимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Не забудьте обновить базы перед тем, как будете делать новые логи!

thyrex 07-06-2010 22:55 1429645
Перед созданием повторных логов

1. Выполните скрипт в AVZ
Код:
begin
RegSearch('HKLM', '', 'espab76.tmp');
 SaveLog(GetAVZDirectory + 'avz00.log');
end.
2. Файл avz00.log из папки AVZ прикрепите к сообщению
3. Новые логи сделайте полиморфным AVZ (ссылка в моей подписи)

Sega555 07-06-2010 23:27 1429668
Вложений: 1
Скрипты выполнил.

Цитата:
Цитата MotherBoard
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. »
Доступа к этому сайту нет. "Соединение закрыто удаленным сервером"

Пофиксил.
IP 192.168.0.1 бывший мой на второй сетевой.
77 DNS провайдера
БАзы не обновляютца так как выдает ошибку загрузки обновлений.

Скачал полиморфный AVZ. Скрипт не выполняетца выдает ошибку "Undeclared identifier: 'RegSearch' в позиции 2:10"
Прикрепляю новые файлы сделанные полиморфным AVZ.

thyrex 07-06-2010 23:38 1429675
Цитата:
Цитата Sega555
Скрипт не выполняетца выдает ошибку "Undeclared identifier: 'RegSearch' в позиции 2:10" »
Просьба скачивать полиморфный AVZ шла под номером 3, а скрипт под номером 1.

Не нужно заниматься самодеятельностью. Следует выполнять все в написанном порядке.
Выполните мой скрипт в обычном AVZ и прикрепите лог

Sega555 07-06-2010 23:44 1429678
Вложений: 1
Цитата:
Цитата thyrex
Просьба скачивать полиморфный AVZ шла под номером 3, а скрипт под номером 1.
Не нужно заниматься самодеятельностью. Следует выполнять все в написанном порядке.
Выполните мой скрипт в обычном AVZ и прикрепите лог »
Виноват. Сори.

thyrex 08-06-2010 01:34 1429726
Выполните скрипт в AVZ
Код:
begin
QuarantineFile('C:\thumbs.db','');
 DeleteFile('Netprotocol.sys');
 DeleteFile('C:\thumbs.db');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\545F0BA6');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\545F0BA6');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\545F0BA6');
DeleteService('Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Проверьте доступ к сайтам

Сделайте новые логи

Sega555 08-06-2010 02:00 1429734
Вложений: 1
Скрипты выполнил, но доступа к сайтам так и нет.
Цитата:
Цитата thyrex
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. »
Из-за этого и отправить немогу.
Прикрепляю новые логи

MotherBoard 08-06-2010 06:48 1429768
Попробуйте команду:

Код:
Пуск – Выполнить - вввести route –f
,
нажать ОК и перезагрузиться

thyrex 08-06-2010 09:56 1429821
А также

Выполните скрипт в AVZ
Код:
var
 Lines : TStrings;
 i : integer;
begin
 Lines := TStringList.Create;
 SearchFiles('%system32%', '*.exe', Lines, true, false);
 for i:= 0 to Lines.Count-1 do
  AddToLog(Lines[i]+', Size='+inttostr(GetFileSize(Lines[i])));
 Lines.Free;
SaveLog(GetAVZDirectory + 'file.log');
end.
Прикрепите лог file.log из папки AVZ.

Sega555 08-06-2010 11:55 1429875
Вложений: 1
Выполнил команду и перезагрузился.
Скрипт выполнил. Файл прикрепляю.

thyrex 08-06-2010 14:23 1429971
Указание из сообщения №9 выполняли? Доступ к сайтам есть?

Sega555 08-06-2010 16:35 1430044
Цитата:
Цитата thyrex
Указание из сообщения №9 выполняли? Доступ к сайтам есть? »
Выполнил до лога. Доступа нет.

thyrex 08-06-2010 16:57 1430059
Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Sega555 08-06-2010 17:07 1430066
Цитата:
Цитата thyrex
На вирусинфо тоже не пускает, прочитать что там немогу...

Drongo 08-06-2010 18:31 1430111
Sega555, Вот ваша ссылка на инструкцию.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Sega555 08-06-2010 19:19 1430150
Цитата:
Цитата Drongo
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
На сайт загрузки тоже немогу выйти, сейчас солью с варезника како-нить, и проверю. но обновитца опять не получитца.

MotherBoard 08-06-2010 19:23 1430152
Тогда пробуем иначе:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Drongo 08-06-2010 20:21 1430192
Sega555, Отсюда скачается 100 % :)

Sega555 08-06-2010 20:39 1430214
Вложений: 1
Цитата:
Цитата Drongo
Sega555, Вот ваша ссылка на инструкцию.
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
Скачал с другова варезника и смог обновить, отчет прикрепляю.
Цитата:
Цитата MotherBoard
Тогда пробуем иначе:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению." »
А это теперь делать или пока хватит уже готового отчета? Кстати по тому что в отчете, такое чувство что хватит, там как раз указание есть на IP....

MotherBoard 08-06-2010 21:04 1430236
Вопрос:
C:\Program Files\MyCentria - эту программу сами устанавливали?

Sega555 08-06-2010 21:04 1430237
Цитата:
Цитата MotherBoard
Вопрос:
C:\Program Files\MyCentria - эту программу сами устанавливали? »
Скорее всего остатки СМС информера.

MotherBoard 08-06-2010 21:09 1430240
Тогда удаляем:
Зараженные ключи в реестре(их там много)
Зараженные параметры в реестре(список)

Зараженные папки:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.

Зараженные файлы:
C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
остальное из списка на ваше усмотрение(если что-то вам не нужно)
Имейте в виду, что MBAM те же кряки(кейгены) принимает за вирусы.

Sega555 08-06-2010 21:11 1430241
Цитата:
Цитата MotherBoard
Тогда удаляем:
Зараженные ключи в реестреих там много)
Зараженные параметры в реестре(список)
Зараженные папки:
C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
Зараженные файлы:
C:\Program Files\MyCentria\Firefox\adcentria.uid (Adware.MyCentria) -> No action taken.
C:\Program Files\MyCentria\Firefox\adcentria.xml (Adware.MyCentria) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
остальное из списка на ваше усмотрение(если что-то вам не нужно)
Имейте в виду, что MBAM те же кряки(кейгены) принимает за вирусы. »
Все удалил с помощью того же MBAM. В итоге проблема решилась. Всем огромное спасибо за помощь! :yahoo: :clapping:

Drongo 08-06-2010 21:13 1430243
Sega555, Для меня, пожалуйста, сделайте такую рекомендацию.

Сохраните текст ниже в bat-файл Static.cmd
Код:
Reg EXPORT "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes" "Static_Marshrut.reg" >nul
Запустите его и полученый файл Static_Marshrut.reg запакуйте в архив и прикрепите.

Сделайте это до того как MotherBoard, даст вам список что нужно удалить.

Опоздал... :(

Sega555 08-06-2010 21:17 1430247
Цитата:
Цитата Drongo
Sega555, Для меня, пожалуйста, сделайте такую рекомендацию.
Сохраните текст ниже в bat-файл Static.cmd
Код:
Reg EXPORT "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes" "Static_Marshrut.reg" >nul
Запустите его и полученый файл Static_Marshrut.reg запакуйте в архив и прикрепите.
Сделайте это до того как MotherBoard, даст вам список что нужно удалить.
Опоздал... »
Поздно написали :sorry:

MotherBoard 08-06-2010 21:24 1430250
Лог CF на всякий случай выложите...

Sega555 08-06-2010 21:34 1430260
Цитата:
Цитата MotherBoard
Лог CF на всякий случай выложите... »
ComboFix имеетца ввиду?

MotherBoard 08-06-2010 21:36 1430261
да! ссылка была выше..

Sega555 08-06-2010 22:11 1430279
Цитата:
Цитата MotherBoard
да! ссылка была выше.. »
ПопробЫвал 3 раза все три раза на этапе 35-40 выкидывает на синий экран и уходит в перезагрузку....
Файл отчета не создает.

Drongo 08-06-2010 22:40 1430297
Sega555, Если проблем больше не наблюдается значит не нужно, деинсталируйте CF

• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

И чистого Вам интернета. :)

MotherBoard 08-06-2010 22:43 1430301
Лан... тогда удаляйте.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Не забудьте удалить МBAM через пуск/панель управления/установка и удаление программ..

Карантины отправьте в лабораторию, как я раньше писала.
результаты сообщите в теме!

Обновите Windows ХР до пакета SP3(http://www.microsoft.com/downloads/d...displaylang=ru)
Обновите Internet Explorer(http://www.microsoft.com/rus/windows/internet-explorer/) даже если не пользуетесь

Sega555 10-06-2010 18:59 1431676
Цитата:
Цитата MotherBoard
Карантины отправьте в лабораторию, как я раньше писала.
результаты сообщите в теме! »
Файл в процессе обработки.
Такой ответ был. Пока больше ничего.
Всем ещё раз спасибо за помощь.


Время: 04:47.

Время: 04:47.
© OSzone.net 2001-