Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Антивирусное ПО не может обновиться, не пускает на сайты производителей антивирусов (http://forum.oszone.net/showthread.php?t=180694)

Hellst1ng 15-07-2010 22:07 1454147
Антивирусное ПО не может обновиться, не пускает на сайты производителей антивирусов
 
Вложений: 1
Доброго времени суток.
Проблема собственно в следующем, сначала стал крашиться IE с ошибкой типа "Ошибка памяти по адресу <такому-то>" - ОК. Случалось это редко, так что особо на это внимания не обращал.
Потом в один "прекрасный" день при запуске винды сразу же вылетело сообщение краша с указанной выше ошибкой хотя IE даже не был запущен, а AMON NOD'а отловил Win32/Obfuscated.NCY trojan (C:\Windows\system32\svchost.exe:ext.exe) и BAT/Killfiles.NCB trojan (C:\Windows\system32\fjhdyfhsn.bat). После этого решил сделать полный скан, и понял что NOD не в состоянии приконектиться к своим серверам для обновления баз. В автозагрузке прописался "wwwznv32.exe", при попытке убрать его оттуда вручную постоянно вылетали все те же ошибки ал-ля "Ошибка памяти по адресу <такому-то>" - ОК. Но теперь стал глючить уже explorer, пропадали и появлялись рабочий стол, панель задач. IE крашился прямо при запуске. В диспетчере задач было два процесса IEXPLORE.exe. С 25-го раза смог запустить IE, сразу скачал HijackThis, просканился (лог прилагается), пофиксил:
Код:
  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
  F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\668857e1.exe,C:\WINDOWS\system32\wlxbax.exe,
  O4 - Startup: wwwznv32.exe
Однако последняя не фиксилась в обычном режиме (при последующем скане оставалась на месте), перезагрузился в сэйф моде, пофиксил там. После этого система стала работать вроде бы стабильно.
Решил сходить на virusinfo, однако меня ждал сюрприз, зайти туда я не смог, собственно так же как сайты большинства производителей антивирусного ПО и их тематические форумы. Решил скачать еще несколько прог для проверки системы, что удалось найти Cureit (со свеженькой, июльской, базой, не понятно толи обновился, толи такой свежий, однако на сайт Web'а не заходит), Ad-aware (не смог обновиться), SPYBOT (обновился, кое-что почистил, ничего существенного), так же скачал и просканился salitykiller и KKiller. Плюс мой NOD с базами от 10.07.10. Ничего найдено не было, вообще. Доступ на сайты и сервера обновлений антивирусников по-прежнему не возможен.
Нашел ваш портал, работает (ура!), скачал AVZ, сделал логи, прошу помощи. (вижу тут много подобных тем, однако рекомендовали не пользоваться чужими вариантами решения проблемы и создать отдельный топик).
Зы. Прикрепил два лога HijackThis (самый первый с заразой и после фикса свеженький сегодняшний).

icotonev 15-07-2010 22:45 1454167
Добрый вечер!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('ASKService');
 QuarantineFile('C:\Program Files\AskBarDis\bar\bin\AskService.exe','');
 QuarantineFile('c:\windows\services.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\aurfijwh.SYS','');
 DeleteFile('C:\Program Files\AskBarDis\bar\bin\AskService.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\aurfijwh.SYS');
 DeleteFile('c:\windows\services.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','services');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','services');
 DeleteService('ASKService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.


Скачайте стандартный AVZ 4.34

Пожалуйста обновите баз =>нажмите Файл => Обновление баз => Пуск

Сделайте новые логи..!

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.


Время: 09:45.

Время: 09:45.
© OSzone.net 2001-