Не грузятся Антивирусные сайты, загрузка ЦП 100%

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Не грузятся Антивирусные сайты, загрузка ЦП 100%

Здравствуйте!Не грузятся Антивирусные сайты, загрузка ЦП 100%
при включ. комп. выходит ошибка Explorer(жму закрыть), после чего рабочий стол пропадает...
логи прилагаются, только не получилось обновить AVZ при обновлении через программу выдаёт ошибку...пробовал скачать avzbase.zip., не открывает страницу...

TuMuK, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ldvz0UG.exe,\\?\globalroot\systemroot\system32\p5084zz.exe,C:\WINDOWS\system32\c28598d6.exe,C:\WINDOWS\system32\ncyavq.exe,

O4 - S-1-5-18 Startup: wwwznv32.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: wwwznv32.exe (User 'Default user')

O4 - Startup: wwwznv32.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('c:\documents and settings\user-pc\главное меню\программы\автозагрузка\wwwznv32.exe','');

 QuarantineFile('c:\windows\system32\c28598d6.exe','');

 QuarantineFile('c:\windows\system32\ncyavq.exe','');

 DeleteFile('c:\documents and settings\user-pc\главное меню\программы\автозагрузка\wwwznv32.exe');

 DeleteFile('c:\windows\system32\c28598d6.exe');

 DeleteFile('c:\windows\system32\ncyavq.exe');

 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(20);

RebootWindows(true);

end.

После всех процедур выполните скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Повторите логи. Что с проблемой после выполнения скрипта?

Загрузка ЦП уменьшилась.
сайты по прежнему не грузят+ файл не могу отправить т.к. сайт не грузится.

Логи:

чуть не забыл:))

TuMuK, Вот такой скрипт выполните

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\uoytrvl.exe','');

 QuarantineFile('C:\WINDOWS\system32\jjdstzx.exe','');

 QuarantineFile('C:\WINDOWS\system32\cvrpvja.exe','');

 QuarantineFile('C:\WINDOWS\system32\kpaxhxr.exe','');

 QuarantineFile('C:\WINDOWS\system32\qshwul.exe','');

 QuarantineFile('C:\WINDOWS\system32\uzgpqzf.exe','');

 QuarantineFile('C:\WINDOWS\system32\qawvpmw.exe','');

 QuarantineFile('C:\WINDOWS\system32\txskqfe.exe','');

 QuarantineFile('C:\WINDOWS\system32\20dfaece.exe','');

 QuarantineFile('C:\WINDOWS\system32\nenfhnw.exe','');

 QuarantineFile('C:\WINDOWS\system32\pjtahwq.exe','');

 QuarantineFile('%windir%\system32\sfcfiles.dll','');

 QuarantineFile('C:\WINDOWS\system32\drivers\sfc.sys','');

 DeleteFile('C:\WINDOWS\system32\drivers\sfc.sys');

 DeleteFile('C:\WINDOWS\system32\pjtahwq.exe');

 DeleteFile('C:\WINDOWS\system32\nenfhnw.exe');

 DeleteFile('C:\WINDOWS\system32\20dfaece.exe');

 DeleteFile('C:\WINDOWS\system32\txskqfe.exe');

 DeleteFile('C:\WINDOWS\system32\qawvpmw.exe');

 DeleteFile('C:\WINDOWS\system32\uzgpqzf.exe');

 DeleteFile('C:\WINDOWS\system32\qshwul.exe');

 DeleteFile('C:\WINDOWS\system32\kpaxhxr.exe');

 DeleteFile('C:\WINDOWS\system32\cvrpvja.exe');

 DeleteFile('C:\WINDOWS\system32\jjdstzx.exe');

 DeleteFile('C:\WINDOWS\system32\uoytrvl.exe');

 RenameFile('%windir%\system32\sfcfiles.dll', '%windir%\system32\sfcfiles.bak');

 CopyFile('%windir%\system32\dllcache\sfcfiles.dll', '%windir%\system32\sfcfiles.dll');

 DeleteFile('%windir%\system32\sfcfiles.bak');

 DeleteService('sfc');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После чего выполните вручную

Пуск – Выполнить - вввести route –f, нажать ОК и перезагрузиться

Повторите весь комплект логов HJT + AVZ + RSIT

теперь сайты открываються...

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

ответ от касперск.

c28598d6.exe - Backdoor.Win32.Shiz.lj
ncyavq.exe - Trojan.Win32.Jorik.Shiz.bh

thyrex, запустил combofix после перезагрузки, deamon tools начал выдавать ошибку и закрываеться.

Daemon Tools удалите временно. ComboFix запустите еще раз

Хотя бы отключите автозапуск

как его отключить?, он при запуске выдаёт ошибку....
я думаю лучше тогда папку удалить?!...

Пофиксите в HiJack

Код:

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

Пробуйте делать нормальный лог ComboFix

P.S. Антивирус у Вас тоже не выключен

вот...антивирус отключил...

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Запустите редактор реестра
Зайдите в ветку

Код:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Найдите в правой части параметр DcomLaunch и удалите из его значений Netprotocol

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::

c:\windows\system32\drivers\vpjyz.sys

c:\windows\system32\drivers\tnibu.sys



Driver::

frbmozsunve

qcbebo

bcvtd



NetSvc::

bcvtd



Folder::



Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"8193:TCP"=-



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

извините, но я не понял как восстановить дистрибутив...
остальное сделал, но файла ComboFix.txt не создался(...

взял отсюда если что C:\ComboFix\

Цитата:

Цитата TuMuK

извините, но я не понял как восстановить дистрибутив... »

описано тут.

Цитата:

Цитата TuMuK

остальное сделал, но файла ComboFix.txt не создался(... »

Запустите ComboFix заново

при проверке выдало ошибку PEV.cfxe нажал "ок" проверка продолжилась...

Читайте и выполняйте http://support.kaspersky.ru/kis2009/error?qid=208636215
Ибо Кидо снова в логе