[решено] не заходит на сайты(антив-сов,майкрософт,RSIT,HijackThis,CureIt,virusnet.info)

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

не заходит на сайты(антив-сов,майкрософт,RSIT,HijackThis,CureIt,virusnet.info)

1. Cкачайте CureIt (прямая ссылка) и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
2. Скачайте AVZ, HijackThis и RSIT или если у вас 64 битная система, то эту версию RSIT x64 и распакуйте архивы avz4.zip, HiJackThis.zip в отдельные папки.

из этого всего, скачалось только AVZ :|, отчеты от него выложил.
+ почистил все что можно было ATF-Cleaner.

пс: еще была проблема со свойствами папок, т.к. не запускался режим просмотра скрытых папок. но после проверки AVZ, через Far в system32 удалил некий VideoDriver.exe который и был причиной.

да, забыл сказать, hosts впорядке.

Проверьте сами на http://www.virustotal.com файл

Код:

C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll

C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('C:\WINDOWS\Installer\318f8.msi','');

 QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');

 QuarantineFile('c:\program files\common files\ms64sign.cert','');

 QuarantineFile('c:\windows\system32\videodriver.exe','');

 DeleteFile('c:\program files\common files\ms64sign.cert');

 DeleteFile('c:\windows\system32\videodriver.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VideoDriver');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Важно!
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты

спасибо за отзыв)

quarantine.zip - создал.
Но отправить немогу, не пускает. И на http://www.virustotal.com тоже, т.к. тоже доступ закрыт.
Щас просканю Gmer, отпишусь.

Когда закончите с гмер
выполните

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

вот лог от комбофикс:

еще заметил, с помощью NetLimiter, что svchost.exe время от времени что-то куда-то отправляет, на разные ip адресса.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service dmdrag

gmer.exe -del file "C:\WINDOWS\system32\huohu.dll"

gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dmdrag"

gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dmdrag"

gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::



File::



Driver::



Folder::



Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6221:TCP"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=" "

NetSvc::

dmdrag



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

да, после выполнения батника, все стало нормально.
на все сайты заходит.
спасибо огромное)

Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Лечение еще не закончено! Пока поменяйте ВСЕ! ваши пароли которые вы имеете на сайтах и т.д.

Цитата:

Цитата iskander-k

Сделайте новый лог gmer. »

+ где отчет Combofix и гмер?

сделайте еще этот лог
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

лог ComboFix

c:\windows\regedit.exe . . . is infected!! --- это поидее не хорошо.

пс: гмер пока в процессе.

Цитата:

Цитата Tik09

c:\windows\regedit.exe . . . is infected!! --- это поидее не хорошо. »

Возможно, но похоже это специфика вашей сборки.У вас как я понимаю чья-то сборка. А не Официальная версия.

Проверьте его на http://www.virustotal.com/index.html - ссылку на результаты сюда.

радмин вы сами устанавливали ?

с логам гмера вроде все чисто..

пс:радмин - да, сам.
и да...у меня zver стоит.

по regedit.exe :

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: c23e7f608ac7778419b9a663ff608995
Date first seen: 2009-06-03 09:38:45 (UTC)
Date last seen: 2010-04-21 07:04:17 (UTC)
Detection ratio: 0/40

Это старые результаты . Вы снова и свой файл проверьте. И ссылку на результат , а не выдержку отчета.

http://www.virustotal.com/file-scan/...29d-1296510484

исправил.

+ по гмеру это новый отчет. первый назывался log1.zip, a после запуска батника - log2.zip

Цитата:

Цитата Tik09

+ по гмеру это новый отчет. первый назывался log1.zip, a после запуска батника - log2.zip »

Я понял и видел отчет.
Чистый.
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Или скачайте OTCleanIt, зеркало OTCleanIt, запустите, нажмите Clean up.

Для деинсталяции Gmer используйте следующие рекомендации:

Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

логи от Malwarebytes Anti-Malware:

Проблемы остались?
Если нет, то деинсталлируйте Malwarebytes Anti-Malware.
Очистить и создать новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, пользователь мог вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- в Internet Explorer (рекомедуется IE8 ) отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

+ Ещё раз напоминаю вам - Поменяйте ВСЕ ваши пароли!

нет, проблемы решены.
спасибо еще раз)