Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Не открываются сайты антивирусов (http://forum.oszone.net/showthread.php?t=182098)

RMS 04-08-2010 01:27 1466401
Не открываются сайты антивирусов
 
"В районе эпидемия. Поголовные прививки." :)

Началось после того, как ява-машина попросилась проапдэйтиться и я разрешил.
Начало всплывать красное окно про то что не надо ходить besprutaness.com/knok.php&id=SYSTEM!... IP 193.105.174.51:80. Параллельно отвалился доступ к некоторым сайтам, особенно антивирусным. А так же к обновлениям НОДа.
Нашёл 2 файлика в System32 один с набором цифр 55e691689.exe, другой с набором букв rvwwau.exe, удалил.
Так же пофиксил в HiJack строку F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\55e691689.exe,C:\WINDOWS\system32\rvww au.exe,
Красное окно про besprutaness перестало всплывать, некоторые сайты заработали, но Нод с апдэйтами и Др. Веб. не видятся.
Плюс дико сыпется трафик с customer.teliacarrier.com, с deploy.akamaitechnologies.com и т.д.

thyrex 04-08-2010 02:11 1466415
Логи с помощью AVZ сделайте

RMS 04-08-2010 03:03 1466429
Вот

thyrex 04-08-2010 10:13 1466519
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sys-up.exe','');
 QuarantineFile('C:\Documents and Settings\RMS\Application Data\bit.exe','');
 QuarantineFile('C:\windows\svcr.exe','');
 DeleteFile('C:\windows\svcr.exe');
 DeleteFile('C:\Documents and Settings\RMS\Application Data\bit.exe');
 DeleteFile('C:\WINDOWS\system32\sys-up.exe');
DelCLSID('{2bf41070-b2b1-21d1-b5c1-0305f4055515}');
 DelCLSID('{6741E630-6B08-7B91-5062-388BE69A5E8B}');
 DelCLSID('{DFD223E7-13AF-8D17-D9A9-05DEFA2352E1}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

RMS 06-08-2010 08:21 1467913
Отпустило вроде! Спасибо!!!

thyrex 06-08-2010 09:56 1467973
Плохого не видно

RMS 10-08-2010 19:25 1470957
Блин! Опять напали! Вот логи AVZ. HijackThis не запускается.

Стоит Eset Smart Sequrity (НОД с файрволом), на момент нападения были самые свежие обновления.
Может кто-нибудь скажет, что это, через какую дыру лезет и почему ни один антивирус до сих пор не реагирует на это? Эдак каждую неделю можно лечиться!

thyrex 10-08-2010 23:07 1471081
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\cuehdx.exe','');
 QuarantineFile('C:\WINDOWS\system32\18f4f8f3.exe','');
 DeleteFile('C:\WINDOWS\system32\18f4f8f3.exe');
 DeleteFile('C:\WINDOWS\system32\cuehdx.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте через форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.

Сделайте новые логи

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

RMS 11-08-2010 07:08 1471197
При первом исполнении, на середине, скрипт повесил машину. Второй раз прошёл.

thyrex 11-08-2010 11:08 1471290
Пофиксите в HiJack
Код:
O20 - Winlogon Notify: reset5e - Invalid registry found
O20 - Winlogon Notify: Winohk32 - Invalid registry found
Ветку реестра
Код:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{6741E630-6B08-7B91-5062-388BE69A5E8B}]
удалите вручную

Файл C:\Program Files\Common Files\keylog.txt и папку C:\Program Files\Common Files\wm удалите вручную

Проблема решена?

RMS 12-08-2010 06:06 1471907
Пофиксил, вручную удалил. А вот ветку реестра такую не обнаружил.

Вроде отпустило.

Так, всё-таки, что это такое и как от этого уберечься?

Drongo 12-08-2010 10:45 1471997
Цитата:
Цитата RMS
Так, всё-таки, что это такое и как от этого уберечься? »
Как показывает практика подобных тем. Пока никах, минимизировать риск заражения можно, регулярно проверяясь различными сканерами, также обновлять базы антивирусника и главное не лазить по сомнительным сайтам. :)

RMS 12-08-2010 21:55 1472484
У меня, конкретно, под видом апдэйта к яве пролезло. Те карантины, что отправлял касперу до сих пор "исследуются" без ответа.
В общем "... презерватив, бинт, йод, эпоксидка и, главное, никаких сношений!".

Не обидитесь, если я подожду с недельку, прежде чем отметить тему, как "решённую"?

Drongo 13-08-2010 11:14 1472732
Цитата:
Цитата RMS
Не обидитесь, если я подожду с недельку, прежде чем отметить тему, как "решённую"? »
Без проблем. :yes:


Время: 12:22.

Время: 12:22.
© OSzone.net 2001-