Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Блокируються антивирусные сайты


Рекомендуемые сообщения

Привет.

У меня возникла проблема с антивирусом (drweb 5.00)

Во первых невозможно ни провести обновление, ни получить демоключь, ни зарегистрировать лицензионный ключ.

Во вторых невозможно зайти на сайты в адресе которых есть упоминания антивирусов (дрвеб, касперский, нод и др.)

Что делать?

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Documents and Settings\Арк\sd4dshd.exe','');QuarantineFile('C:\Documents and Settings\Арк\s2dsxdshd.exe','');QuarantineFile('C:\WINDOWS\system32\neotweaker.cpl','');QuarantineFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe','');QuarantineFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe','');QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe','');QuarantineFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe','');DeleteFile('C:\CONFIG\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exe');DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exe');DeleteFile('C:\RESTORE\k-1-3542-4232123213-7676767-8888886\X0R.exe');DeleteFile('C:\Documents and Settings\Арк\s2dsxdshd.exe');DeleteFile('C:\Documents and Settings\Арк\sd4dshd.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью . Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

Ссылка на комментарий
Поделиться на другие сайты

>Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

>Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

>запакуйте файл C:\Report.txt и прикрепите к сообщению

>Необходимо установить Recovery Console

Сделал

>Скачайте установочный файл для своей ОС и сохраните на рабочий стол.

>Windows XP Professional с пакетом обновления 2 (SP2)

>Windows XP Home Edition с пакетом обновления 2 (SP2)

>Скачайте RSIT или отсюда.

>скачайте .

Заблокировано!!!

ComboFix.rar

Report.rar

ComboFix.rar

Report.rar

Ссылка на комментарий
Поделиться на другие сайты

c:\windows\system32\vlqxvjwt.dll - под пароль virus в карантин поместите.

после этого:

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::c:\windows\system32\vlqxvjwt.dllc:\windows\IE4 Error Log.txtc:\windows\system32\com.runc:\windows\system32\dp1.fnec:\windows\system32\eAPI.fnec:\windows\system32\internet.fnec:\windows\system32\krnln.fnrc:\windows\system32\og.dllc:\windows\system32\og.edtc:\windows\system32\RegEx.fnrc:\windows\system32\shell.fnec:\windows\system32\spec.fnec:\windows\system32\ul.dllDriver::aqsptzzcxRegistry::[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\aqsptzzcx][-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aqsptzzcx][-HKLM\~\startupfolder\C:^Documents and Settings^Арк^Главное меню^Программы^Автозагрузка^ЎЎЎЎЎЎ.lnk]FileLook::c:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

попробуйте скачать Gmer и сделать ним лог.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

И ещё одну странность заметил, каждый раз сканируя AVZ получаю в конце такую запись

>> Разрешен автозапуск с HDD

>>> Разрешен автозапуск с HDD - исправлено

>> Разрешен автозапуск с сетевых дисков

>>> Разрешен автозапуск с сетевых дисков - исправлено

>> Разрешен автозапуск со сменных носителей

>>> Разрешен автозапуск со сменных носителей - исправлено

Получается что автозапуск сам включается.

Ссылка на комментарий
Поделиться на другие сайты

C:\s4.exe - проверить на http://www.virustotal.com

c:\windows\system32\winlogon.exe - аналогично.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::c:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exeh:\system\S-3-7-89-2225458569-9856321456-454423558-8896\explorer.exec:\restore\k-1-3542-4232123213-7676767-8888886\X0R.exec:\restore\S-1-5-21-1482476501-1644491937-682003330-1013\ROX.exec:\recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exec:\config\S-1-5-21-1482476501-1644491937-682003330-1013\Cfg.exeDriver::wbzfxlxeFolder::Registry::[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX5C544541}][-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C987892}][-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C642122}][-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{23KLN5J0-4OPM-11WE-AAX5-24EF1D187332}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6228db6-8bd2-11dd-85b9-b5601a429917}][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"6274:TCP"=-FileLook::c:\windows\Installer\{2BD3661D-1384-4EF4-9E5C-DFDB8EE6E3EA}\ARPPRODUCTICON.exeDirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

>C:\s4.exe - проверить на http://www.virustotal.com

>c:\windows\system32\winlogon.exe - аналогично.

блокируется

И ещё просьба выслать RSIT по почте на адрес crock<at>pochta.ru

>C:\s4.exe - проверить на http://www.virustotal.com

C:\s4.exe удалил, ещё вчера его не было.

ComboFix.rar

ComboFix.rar

Ссылка на комментарий
Поделиться на другие сайты

Попался :) Сейчас полегчать должно :)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::c:\windows\system32\xc:\windows\system32\vlqxvjwt.dllDriver::mckdwvgulFolder::c:\windows\system32\xRegistry::FileLook::DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

>Попался :) Сейчас полегчать должно :)

Действительно попался, сейчас качаю обновления drweb

А что это было?

И RSIT то же закачался!

ComboFix.rar

ComboFix.rar

Ссылка на комментарий
Поделиться на другие сайты

Это Kido. В сети кто-то заражен еще, вот и ломает.

После лечения заплаткe "вкинуть" нужно. MS08-067

Повторите лог ComboFix.

Net-Worm.Win32.Kido использует критическую уязвимость в Microsoft Windows (MS08-067) для распространения через локальные сети и съёмные носители информации.

Червь отключает функцию System Restore, блокирует доступ к сайтам, посвящённым информационной безопасности, и скачивает на заражённые компьютеры дополнительные вредоносные программы.

Ссылка на комментарий
Поделиться на другие сайты

>После лечения заплаткe "вкинуть" нужно. MS08-067

Заблокировано.

>Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

>

>File::

>c:\windows\system32\x

>c:\windows\system32\vlqxvjwt.dll

>Driver::

>mckdwvgul

>Folder::

>c:\windows\system32\x

>Registry::

Перестал работать ComboFix.exe,

переименование его в Combo-Fix.exe не помогло.

Появляетя окно, вверху вместо текста кракозябины,

и под ним моргает курсор.

И на этом процесс остонавливается.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\x');DeleteFile('C:\WINDOWS\system32\vlqxvjwt.dll');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Попробуйте скачать Gmer с этой ссылки

Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение

Скачайте на другом компьютере следующие обновления и установите перед выходом в интернет.

  1. http://www.microsoft.com/technet/security/...n/MS08-067.mspx
  2. http://www.microsoft.com/technet/security/...n/ms08-068.mspx
  3. http://www.microsoft.com/technet/security/...n/ms09-001.mspx
Ссылка на комментарий
Поделиться на другие сайты

Всё закачал.

Обновления Windows делать двойным кликом или через combofix?

gmer нашол rootkit.

Attach.rar

DDS.rar

gmer.rar

Attach.rar

DDS.rar

gmer.rar

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::Driver::wbzfxlxeegelozpxuFolder::Registry::[-HKLM\SYSTEM\CurrentControlSet\Services\egelozpxu][-HKLM\SYSTEM\ControlSet002\Services\egelozpxu][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"6274:TCP"=-FileLook::DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

И лог Gmer повторите.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

>Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

>И лог Gmer повторите.

Действия:

1.Выполнил скрипт

2.Призвел обновление виндоуз

3.Просканировал гмером

ComboFix.rar

gmer.rar

ComboFix.rar

gmer.rar

Ссылка на комментарий
Поделиться на другие сайты

Crock: Здравствуйте.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)

Так вы никогда не излечитесь.

Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключениях брандмауэра общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc, описание здесь

Отключите автозапуск, скачайте AutorunDisabled.zip, распакуйте и примените.

Отключите административный доступ к дискам, сохраните текст ниже как noshare.reg и примените

REGEDIT4[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]"AutoShareWks"=dword:00000000

Установите сложные пароли уч. записи администратора (и желателено остальных уч. записей)

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::C:\WINDOWS\system32\vlqxvjwt.dllDriver::egelozpxuRegistry::[-HKLM\SYSTEM\CurrentControlSet\Services\egelozpxu][-HKLM\SYSTEM\ControlSet002\Services\egelozpxu]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Папки

C:\32788R22FWJFW.1.tmp

C:\32788R22FWJFW.0.tmp

Можете удалить вручную. После скрипта сайты должны быть доступны. Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Рекомендую обновить также Java JRE, см. Как обновить Java

Для контроля сделайте новый лог gmer

Изменено пользователем Pili
Ссылка на комментарий
Поделиться на другие сайты

>После скрипта сайты должны быть доступны

Сайты действительно стали доступны,

но скрипт не помог, срау после его выполнения я запустил гмер,

но он нашол всю ту же гадость.

И еще авз выдаёт такую запись

>> Безопасность: к ПК разрешен доступ анонимного пользователя

как это отключить?

Остальные рекомендации выполнил кроме джавы и сп3

слишком они большие для дуал-ап

ComboFix.rar

gmer.rar

ComboFix.rar

gmer.rar

Ссылка на комментарий
Поделиться на другие сайты

запретите 445 и 139 порт (уберите в исключениях брандмауэра общий доступ к файлам и принтерам), дополнительно можете воспользоваться утилитой wwdc, описание здесь

сделали?

Установите сложные пароли уч. записи администратора (и желателено остальных уч. записей)

Скачайте Flash Drive Disinfector и запустите утилиту

сделали? По логам не вижу папки autorun.inf

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

- REDUCED FUNCTIONALITY MODE -

Консоль восстановления не установили.

Java JRE не слишком много весит, впрочем если измеряете безопасность компьютера в мегабайтах и потраченном времени на настройку обновлений, то этот случай вас ничему не научит.

Выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);SetServiceStart('egelozpxu', 4);DeleteService('egelozpxu');DeleteFile('C:\WINDOWS\system32\vlqxvjwt.dll');RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);BC_ImportDeletedList;ExecuteSysClean;BC_DeleteFile('C:\WINDOWS\system32\vlqxvjwt.dll');BC_DeleteSvc('egelozpxu');BC_Activate;RebootWindows(true);end.

c:\windows\system32\winlogon.exe - проверьте на virustotal.com

Проведите проверку утилитами KidoKiller_v3.2.rar и AVPTool

Повторите все логи.

Ссылка на комментарий
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...