Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не могу зайти на сайты антивирусов... (http://forum.oszone.net/showthread.php?t=177948)

Sunforger 11-06-2010 16:40 1432290
Не могу зайти на сайты антивирусов...
 
Вложений: 1
Здравствуйте, нужна помощь.
Все рекомендации выполнил. Вот логи.
И ещё - в System32 Нашёл четыре ексешника(~50-100кб) с рандомным именем, непонятной иконкой, созданных сегодня. И ещё несколько созданных неделю назад. Те которые были созданы неделю назад Cureit нашёл и удалил. А сегодняшние четыре ни нод32, ни cureit не видит. Что с ними делать?

MotherBoard 11-06-2010 17:14 1432315
Здравствуйте!

Создайте файл Static.bat с содержимым:
Код:
Reg EXPORT "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" "Static_Marshrut.reg" >nul
Сохраните его и запустите двойным щелчком. Появившийся рядом файл Static_Marshrut.reg запакуйте в архив и прикрепите.

Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%_SYS_MOD_PATH%','');
 QuarantineFile('Srssime.sys','');
 QuarantineFile('c:\program files\plugin.exe','');
 QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
 QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
 QuarantineFile('\\?\globalroot\systemroot\system32\o4oo0cf.exe','');
 QuarantineFile('c:\documents and settings\валера\application data\adsubscribe\adsubscribe.dll','');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
 DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
 DeleteFile('c:\program files\plugin.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\o4oo0cf.exe');
 DeleteFile('c:\documents and settings\валера\application data\adsubscribe\adsubscribe.dll');
 DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
 DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','plugin');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
Комп перезагрузится
Выполните скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксьте в HJT
Код:
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\dlgqlfq.exe,\\?\globalroot\systemroot\system32\TdjlFY2.exe,\\?\globalroot\systemroot\system32\Cas1lNY.exe,\\?\globalroot\systemroot\system32\MgC5Nlx.exe,\\?\globalroot\systemroot\system32\o4oO0Cf.exe,
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL
O20 - Winlogon Notify: reset5 - reset5.dll (file missing)
O20 - Winlogon Notify: spoowstd - C:\WINDOWS\
Повторите логи!
ОС подлинная или пиратка???

Sunforger 11-06-2010 20:02 1432410
Такс, проблема решилась - спасибо!!!
Sunforger, Sunforger,
Цитата:
Цитата MotherBoard
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" »
Если честно не понял, что тут нужно сделать. Просто в той строке написать virus? Или нужно сделать пароль к архиву карантин? и какой указать продукт Касперского, который я использую - AVZ? В общем пока не выслал.



В HJT пофиксил, кроме строк начинающихся с 02 - у меня тех двух строк не было.

Хочу ещё сказать, что 4 месяца назад у меня была такая же проблема. И тоже появились странные файлы в систем32. Но тогда я их просто удалил и ничего про них не сказал и больше их не видел. Вот тема
http://forum.oszone.net/thread-167110.html

ОС - подлинная, корпоративная...

Логи как и просили повторил.

MotherBoard 11-06-2010 20:22 1432418
Профиксьте в HJT
Код:
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
В остальном по логу чисто...
Цитата:
Цитата Sunforger
ОС - подлинная, корпоративная... »
А пользуемся ломалкой! Не надо нас так пугать.... :)
Проверим???

проверка валидности Windows с помощью MGADiag(http://go.microsoft.com/fwlink/?linkid=52012)

Цитата:
Цитата Sunforger
"virus" »
без кавычек...)
Продукт можете и AVZ написать

а насчёт прошлой темы.. странные файлы вы удалили, а хелперы следы подчистили...
Потому что все файлы - либо легал, либо вирь - одно из двух... :)

Sunforger 12-06-2010 00:31 1432548
ОС ставилась сверху на ломанную, естественно без дефрагментации и прочего. Может что-то осталось.. Но заходить на сайт майкрософта и там проверять такие вещи мне чёт не хочется :)
Цитата:
Цитата MotherBoard
без кавычек...)
Продукт можете и AVZ написать »
Да я не понял значения слова- пароль на архив.
В общем выслал им архив, в строке "Подробное описание возникшей ситуации:" написал просто слово virus. Как получу ответ, сразу отпишусь, Поэтому пока не буду отмечать проблему решённой.

Цитата:
Цитата MotherBoard
а насчёт прошлой темы.. странные файлы вы удалили, а хелперы следы подчистили...
Потому что все файлы - либо легал, либо вирь - одно из двух... »
Файл 100кб, название типа y5gM8g1. Дата создания в день, когда у меня появилась эта проблема. Легалом, ну никак не пахнет. В прошлый раз я их удалил, сейчас пока не трогаю.
Может мне их заархивировать пока на время? А то раздражают :)

MotherBoard 12-06-2010 00:52 1432558
А расширение... Какое точно имя у файла с раширением?
напишите полный путь
А насчёт подлинности ОС, у вас программка стоит для взлома как таковых вещей, потому и спросила.... ;)

Sunforger 12-06-2010 09:25 1432626
Размещение: C:\WINDOWS\system32


XlS12sU.exe
y5gM8g1.exe
NOLcnCi.exe
2sE43F8.exe

Вот название этих четырёх, они все скрытые. Нажал правой кнопкой, свойства - в описании и дополнительных сведениях тоже всякий бред написан.
Конкретно каждый файл просканировал нодом, он ничего не обнаружил.

Цитата:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

o4oo0cf.exe

Файл в процессе обработки.

С уважением, Лаборатория Касперского
Вот пока прислали ответ.

thyrex 12-06-2010 09:54 1432637
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Sunforger 12-06-2010 13:16 1432721
вот

thyrex 12-06-2010 13:41 1432732
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\y5gM8g1.exe','');
 QuarantineFile('C:\WINDOWS\system32\XlS12sU.exe','');
 QuarantineFile('C:\WINDOWS\system32\2sE43F8.exe','');
 QuarantineFile('C:\WINDOWS\system32\NOLcnCi.exe','');
 DeleteFile('C:\WINDOWS\system32\NOLcnCi.exe');
 DeleteFile('C:\WINDOWS\system32\2sE43F8.exe');
 DeleteFile('C:\WINDOWS\system32\XlS12sU.exe');
DeleteFile('C:\WINDOWS\system32\y5gM8g1.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(19);
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи RSIT

Sunforger 12-06-2010 14:03 1432747
Отправил.
Вот новые логи.

thyrex 12-06-2010 14:05 1432750
Плохого не видно. Что с проблемой?

Sunforger 12-06-2010 14:40 1432784
Проблема то решилась уже после второго сообщения в этой теме.
Просто хотелось узнать про те 4 файла.

thyrex 12-06-2010 22:58 1432991
Установите Adobe Acrobat 9.3 или удалите старый

Drongo 12-06-2010 23:48 1433020
Цитата:
Цитата Sunforger
Проблема то решилась уже после второго сообщения в этой теме. »
И не забывайте отмечать тему решённой. :)

Sunforger 13-06-2010 09:51 1433143
Ну ладно, не буду тогда ждать ответа от каспера. Проблема решилась, странные файлы удалил, всё хорошо.

Всем большое спасибо за помощь!


Время: 14:37.

Время: 14:37.
© OSzone.net 2001-