Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   не открываются страницы браузеров, интернет подключен (http://forum.oszone.net/showthread.php?t=229167)

YuPi29 29-02-2012 21:07 1869506
не открываются страницы браузеров, интернет подключен
 
Вложений: 2
Здравствуйте! Решил обратиться к вам за помощью, может есть у кого время глянуть. На ноубуке ранее стоял DrWeb, не обновлялся, вирусня его сгрызла, стандартными средствами удалить не получалось, удалил через ремувер. Установил Avast, хотел обновить - не получилось, заметил что пропал интернет. Прогнал утилитой CureIt - не открываются страницы, потом Malware Bytes (нашёл штук 10, удалил) - не открываются, пробовал ещё разные советы, но ничего толкового не выходит. Выход в интернет через 3G Модем МТС.

S.R 29-02-2012 21:21 1869527
Добрый вечер,
сейчас посмотрю логи.

YuPi29 29-02-2012 21:27 1869537
Добрый! Вот это оперативность!!! Я хоть и сам IT-специалист, но встал в тупик, вот и решил спросить совета у профи) Ну что там в логах, нашлось что?

Как я понял из логов часть файлов DrWeb осталась, утилита их не удалила, но опять же в диспетчере задач и в Security Task Manager они не отображаются. Сижу репу чешу чо ещё похимичить...

S.R 29-02-2012 22:19 1869580
Извините за задержку, пришлось отлучиться.

Зачистим следы Dr. Web

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
 StopService('DrWebWfp');
 StopService('DrWebLwf');
 DeleteFile('C:\WINDOWS\system32\drivers\dw_wfp.sys');
 DeleteFile('C:\Program Files\DrWeb\dwservice.exe');
 DeleteFile('C:\Program Files\DrWeb\dwnetfilter.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\DrWebLwf.sys');
 DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwarkdaemon.exe');
 DeleteFile('C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
 DeleteFile('H:\autorun.inf');
 DeleteService('DrWebWfp');
 DeleteService('DrWebLwf');
 DeleteService('DrWebNetFilter');
 DeleteService('DrWebAVService');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится.

Нажмите Пуск => Выполнить. В окне наберите команду
Код:
Combofix /Uninstall
Нажмите кнопку ОК.

Скачайте OTCleanIt, запустите, нажмите Clean up.

Скачайте ComboFix по одной из этих ссылок на рабочий стол.Важно! На время работы программы отключите всё защитное программное обеспечение.
Дважды кликните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe


Лог MBAM тоже приложите.

YuPi29 29-02-2012 22:29 1869589
щааааа, делаю

скрипт без ошибок, ребутнулся, а вот комбофикса не находит, вроде дак я его ранее удалял уже

YuPi29 29-02-2012 22:45 1869608
комбофикс при работе пишет что нет мол консоли восстановления/устарела, думаю это не критично...

з.ы. авторун.инф с диска H не удалится, это флэшка защищённая от вирусов

YuPi29 29-02-2012 23:00 1869624
прошу прощения, немного не понял, где мне лог МВАМ взять?

YuPi29 29-02-2012 23:02 1869626
Вложений: 1
отправляю лог комбофикса

YuPi29 29-02-2012 23:08 1869628
нашёл по поиску, надеюсь это тот

YuPi29 29-02-2012 23:10 1869630
Вложений: 1
пардон, забыл прикрепить

YuPi29 29-02-2012 23:20 1869640
кстати сейчас попробовал, страницы начали открываться! ща антивируску обновлю, надеюсь и дальше всё будет работать, надо потестить. а что такое было, не просвятите???

неужели остатки DrWeb (фаервол) мешали выходу в инет?

S.R 29-02-2012 23:58 1869672
Здравствуйте,
файл
Код:
C:\Documents and Settings\User\Application Data\txpn.exe
если будет запакуйте с паролем virus и отправьте мне в ЛС, после этого - удалите.

Если проблем больше нет, то

1.
Нажмите Пуск => Выполнить. В окне наберите команду
Код:
Combofix /Uninstall
Нажмите кнопку ОК.

Скачайте OTCleanIt, запустите, нажмите Clean up.

2.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.

3.
Выполните для предотвращения повторных заражений.

YuPi29 01-03-2012 01:42 1869714
Цитата:
Цитата S.R
файл
Код:
C:\Documents and Settings\User\Application Data\txpn.exe
если будет запакуйте с паролем virus и отправьте мне в ЛС, после этого - удалите. »
нет такого, остальное сейчас посмотрю

какой то подозрительный трафик параллельно обновлению АВ баз идёт, вечером отпишусь как что получилось

S.R 01-03-2012 11:47 1869901
Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\User\Application Data\txpn.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\txpn.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

YuPi29 01-03-2012 21:44 1870400
Бодрый вечер! Ща делаю, процесс идёт, скоро ждите архив и результаты.

YuPi29 01-03-2012 21:47 1870404
Вложений: 1
Скрипты без ошибок, карантин высылаю

S.R 01-03-2012 21:49 1870405
Чисто. Проблемы ещё есть?

YuPi29 01-03-2012 21:53 1870412
да, щас как только подключил, сразу попёр трафик, автообновления все отключены, служба bits и т.п. не критичные для работы тоже. такое ощущение что спам-бот сидит или ещё что-то...

попробую пока прогу поставлю для контроля портов, посмотрю сетевую активность

S.R 01-03-2012 21:56 1870417
Посмотрите и напишите, какой процесс (-ы) используют траффик.

YuPi29 01-03-2012 22:53 1870449
Прошу прощения, это уже я параноил. Проверял TCPView. Трафик был антивируса, при подключении он вылезал обновляться. На модеме подключение EDGE, очееень медленно, за вчерашнюю ночь не мог обновиться. Временно подключил к ADSL - сразу попёрло. Сейчас всё тихо, надеюсь ничего не изменится. Сутки ещё понаблюдаю, если не напишу то всё ОК, тему можно закрыть. Самое огромное и человеческое спасибо, очень выручили! Как я понял, дело было в остатках DrWeb...

S.R 02-03-2012 01:49 1870532
Цитата:
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Параметры: explorer.exe,C:\Documents and Settings\User\Application Data\txpn.exe,Explorer.exe -> Помещено в карантин и успешно удалено.
Это скорее всего мешало.

- Выполните рекомендации после удаления вредоносного ПО.

- Выполните 6 стандартный скрипт в AVZ.
- Удалите антивирусные утилиты, использованные в лечении.

YuPi29 04-03-2012 12:18 1871979
Ага, сделал. Всё ровно, проблем нет:)


Время: 04:00.

Время: 04:00.
© OSzone.net 2001-