[решено] Вирус не пускает на сайты антивирусов: Касперский, Доктор Веб.

Farger · Отправлено: **00:48, 11-04-2011** | #5

1.С помощью AVZ найдите файл lllhsmei.sys -> Как искать файлы при помощи AVZ. Если найдете, проверьте на virustotal и дайте ссылку на результат.
2.Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

3. Пофиксить в HJT

Код:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Tensons.Application.DownloadAcceleratorManager.BHO - {00000003-1118-11da-8cd6-0800200c9888} - mscoree.dll (file missing)
O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O3 - Toolbar: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O24 - Desktop Component 0: (no name) - http://www.zaycev.net/captcha.php?id=c7efbf569bddfba2a5030d3c55b38af0

4. Если не устанавливали http://webalta.ru и http://smaxi.net стартовыми и поисковыми страницами, тогда эти строки тоже пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

5. Ваш провайдер - OJSC VolgaTelecom?

6. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe','');
 QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe','');
 QuarantineFile('C:\WINDOWS\system32\4B.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe','');
QuarantineFile(' C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C2.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C5.exe','');
QuarantineFile(' C:\WINDOWS\system32\7C5.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe','');
QuarantineFile(' C:\WINDOWS\system32\7E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe','');
QuarantineFile(' C:\WINDOWS\system32\A7E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe','');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe');
DeleteFile(' C:\WINDOWS\system32\7E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe');
DeleteFile(' C:\WINDOWS\system32\A7E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe');
 DeleteFile('C:\WINDOWS\system32\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe');
DeleteFile(' C:\WINDOWS\system32\46.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C2.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C5.exe');
DeleteFile(' C:\WINDOWS\system32\7C5.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

7. Запустите еще раз MBAM и удалите все, что он найдет.

Повторите логи AVZ и RSIT.