Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Пропал доступ к vkontakte.ru (http://forum.oszone.net/showthread.php?t=187800)

kifat 08-10-2010 19:31 1514547
Пропал доступ к vkontakte.ru
 
Вложений: 1
Пропал доступ. Опера посылает запрос, через несколько минут обмен информацией прекращается, остается просто пустая белая страница.
Пинг проходит, без потерь, на адрес 87.240.188.252, но сам адрес в браузере выдает ту же пустую страницу. Раньше то же самое было с гуглом (гуляющий вирус =) )Черт с ним, с контактом, но http://zadolba.li/ отправляет туда запрос, и читать сайт через просмотр исходного кода неудобно

AlexTNT 08-10-2010 22:28 1514663
Здравствуйте,
1). отключите антивирус/фаервол, интернет;

2). Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, Вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3). Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли


4. сохранить реестр


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('Httvccbvachi');
 QuarantineFile('Httvccbvachi.sys','');
 DeleteFile('Httvccbvachi.sys');
 DeleteService('Httvccbvachi');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
После выполнения скриптов сделать новые логи по правилам.



Создать новую контрольную точку восстановления и очищаем заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли




для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- отключить автозапуск. Для этого запустите AVZ, меню "Файл - Выполнить скрипт"-> Скопировать ниже написанный скрипт-> Нажать кнопку "Запустить"(Будет отключен автозапуск всех носителей кроме CD\DVD, т.к. после отключения автозапуска на CD\DVD могут возникнуть проблемы с эмуляторами дисков (Daemon Tools, Alcahol, и подобные):
Код:

 begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 end.
регулярно проверять систему антивирусными утилитами CureIT и AVPTool.

___________________
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

• И сделайте повторные логи AVZ с новыми базами.

kifat 09-10-2010 15:11 1515025
Вложений: 3
Сделал что смог.
Восстановление системы у меня вырвано с корнем - мне проще переустановить винду, чем геморится с вирусами в точках восстановления (да и места свободного дефицит).
Как отключить ActiveX, я не нашел (сам пользуюсь Оперой, IE использует папа).
Скрипты выполнил, но авторан у меня вроде как и без того выключен - AVZ я использую довольно давно. Базы у него кстати и без того обновлены дальше некуда.

Логи Malwarebytes Anti-Malware предоставлю позже - сканирование занимает несколоко часов. http://forum.oszone.net/thread-186532.html - тут есть мои же логи от 27.09.10

kifat 09-10-2010 18:07 1515120
Вложений: 1
Собственно отчет Malwarebytes Anti-Malware
(4 из 5 объектов, которые он нашел, находятся у меня на компьютере уже достаточно давно, почти с момента установки системы)

После выполнения инструкций контакт открывается. Других аналогичных проблем пока нет. Что же это все-таки было?

iskander-k 09-10-2010 19:29 1515172
Цитата:
Цитата kifat
Что же это все-таки было? »
Вирус.

Цитата:
Цитата AlexTNT
Httvccbvachi.sys »

AlexTNT 09-10-2010 23:59 1515327
Выполните АВЗ и сделайте повторные логи
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('aj7w8qgw');
 QuarantineFile('C:\WINDOWS\system32\drivers\aj7w8qgw.sys',' ');
 QuarantineFile('C:\WINDOWS\E4D153288C89484BB9AAF5BE9EA6D01C.TMP',' ');
 DeleteFile('C:\WINDOWS\system32\drivers\aj7w8qgw.sys');
 DeleteFile('C:\WINDOWS\E4D153288C89484BB9AAF5BE9EA6D01C.TMP');
 DelCLSID('SeBook.CShellExt extension');
 DelCLSID('A74C3C1A-734B-43AB-BB2E-4EC40DBBB510');
 DeleteService('aj7w8qgw');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

kifat 12-10-2010 17:59 1517276
Вложений: 1
Контакт все еще работает, но обнаружилать такая же проблема (пингуется, но не открывается) с support.kaspersky.ru - впрочем, там не белый лист, а ошибка "возможно, страница не существует".
А не, сейчас открылась, только как-то медленно.
На всякий случай высылаю свежие логи, так как АВЗ при скрипте №3 добавил несколько файлов в карантин.
Кстати, при том же скрипте я встретил строчки:
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\system32\drivers\vdi2nji1.sys

Что такое прямое чтение, и не опасны ли эти файлы?

iskander-k 12-10-2010 22:09 1517471
Цитата:
Цитата kifat
(4 из 5 объектов, которые он нашел, находятся у меня на компьютере уже достаточно давно, почти с момента установки системы) »
Известные вам можете восстановить из соответствующей вкладке в МБАМ.

Цитата:
Цитата kifat
Что такое прямое чтение, и не опасны ли эти файлы? »
Нет.

выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Карантин отправьте на

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.


По логам чисто.


Время: 15:05.

Время: 15:05.
© OSzone.net 2001-