Помогите избавиться от вирусов

[Jevgenij]

Ребята, помогите! Проблема заключается в том, что не загружаются сайты антивирусов и некоторые другие (майкрософта, thepiratebay). Также при включении Mozill'ы Firefox всякий раз нод32 предупреждает, что адрес <удалено> (не заходите!) заблокирован. Я сделал всё, как указано здесь (http://www.softboard.ru/index.php?showtopic=51343), добыл логи, может по ним кто-нибудь определит, в чём проблема? Заранее благодарен.

!

Предупреждение:

Хотите чтоб не заходили - не публикуйте ссылку.

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 7 августа, 2009 пользователем Ray

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[Jevgenij]

Скачал ComboFix, но он выдаёт ошибку:

пробовал переименовать, но всё равно..

[thyrex]

Попробуем обойтись стандартными средствами

Пофиксить в HiJack

 O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)O3 - Toolbar: (no name) - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - (no file)O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dllO4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exeO4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exeO4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\xxx\ms18_word.exeO4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\xxx\reader_s.exe (User 'SYSTEM')

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\regedit.exe','');QuarantineFile('C:\RECYCLER\S-1-5-21-7813984536-4000423226-003481040-1157\winservices.exe','');QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\m3SrchMn.exe','');QuarantineFile('C:\Documents and Settings\xxx\ms18_word.exe','');QuarantineFile('C:\Documents and Settings\xxx\xxx.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');DeleteService('ws2_32sik');DeleteService('systemntmi');QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');DeleteService('sysdrv32');QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');DeleteService('netsik');TerminateProcessByName('c:\windows\system32\reader_s.exe');QuarantineFile('c:\windows\system32\reader_s.exe','');DeleteFile('c:\windows\system32\reader_s.exe');DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');DeleteFile('C:\Documents and Settings\xxx\xxx.exe');DeleteFile('C:\Documents and Settings\xxx\ms18_word.exe');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\m3SrchMn.exe');DeleteFile('C:\RECYCLER\S-1-5-21-7813984536-4000423226-003481040-1157\winservices.exe');DeleteFile('C:\WINDOWS\system32\regedit.exe');DeleteFileMask('C:\WINDOWS\system32', '*.tmp', true);BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('ws2_32sik');BC_DeleteSvc('systemntmi');BC_DeleteSvc('sysdrv32');BC_DeleteSvc('netsik');BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

[Jevgenij]

akoK, я сделал всё, кроме ComboFix'a, т.к. он выдаёт ошибку. Вот лог Gmer'a:

Gmer.zip

thyrex, ваши советы выполнены. Что делать дальше?

Gmer.zip

[thyrex]

Сделайте новые логи

Кроме того, скопируйте куда-нибудь файл C:\WINDOWS\system32\Drivers\NDIS.sys (скорее всего заражен) и проверьте на virustotal Ссылку на результат проверки сообщите

Изменено 8 августа, 2009 пользователем thyrex

[Jevgenij]

Получил ответ от newvirus@kaspersky.com:

Здравствуйте,

reader_s.exe - Backdoor.Win32.Small.igo

В настоящий момент этот файл детектируется. Пожалуйста, обновите антивирусные базы.

>

>

-----------------

С уважением, Виталий Якутенко

Вирусный аналитик

ЗАО "Лаборатория Касперского"

Я нашёл reader_s.exe в папке C:\Documents and Settings\xxx, пока ничего с ним не делал.

обновил базы AVZ

скоро будут логи.

[Jevgenij]

Вот логи AVZ:

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\System32\reader_s.exe','');QuarantineFile('C:\Documents and Settings\xxx\reader_s.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');DeleteService('synsend');QuarantineFile('C:\WINDOWS\system32\drivers\weviyiqj.sys','');DeleteService('mzpmotilg');DeleteFile('C:\WINDOWS\system32\drivers\weviyiqj.sys');DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');DeleteFile('C:\Documents and Settings\xxx\reader_s.exe');DeleteFile('C:\WINDOWS\System32\reader_s.exe');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('synsend');BC_DeleteSvc('mzpmotilg');BC_Activate;RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Вот это почему-то не сделали

Кроме того, скопируйте куда-нибудь файл C:\WINDOWS\system32\Drivers\NDIS.sys (скорее всего заражен) и проверьте на virustotal Ссылку на результат проверки сообщите

[Jevgenij]

Большое спасибо за советы! Всё нормализовалось после последнего скрипта в AVZ.

[thyrex]

Спрошу в очередной раз

Где результат проверки файла C:\WINDOWS\system32\Drivers\NDIS.sys на вирустотал?

Сделайте новые логи

[Jevgenij]

http://www.virustotal.com/ru/reanalisis.ht...13f9-1249848838

[thyrex]

Ложная тревога.

Сделайте новые логи

[Jevgenij]

Логи сделаю завтра! Спокойной ночи! :sm(100):

[Jevgenij]

К сожалению, проблема не решена. По-прежнему блокируются сайты антиыирусов, хотя вчера вечером этого не было.

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

c:\windows\system32\spoolsv.exe проверьте на virustotal Ссылку на результат проверки сообщите

Новые логи RSIT почему не делаете?

Изменено 10 августа, 2009 пользователем thyrex

[Jevgenij]

http://www.virustotal.com/ru/analisis/27fe...4e21-1249924104

log.txt

info.txt

log.txt

info.txt

[thyrex]

C:\Documents and Settings\xxx\Desktop\xxx.exe - это что?

Проверьте на вирустотал еще и c:\documents and settings\xxx\desktop\avz4\avz.exe

[Jevgenij]

http://www.virustotal.com/ru/analisis/3c25...7c2d-1249926080 - 1 подозрение

http://www.virustotal.com/ru/analisis/d710...e113-1249931753 - 2 подозрения

[Jevgenij]

C:\Documents and Settings\xxx\Desktop\xxx.exe - это что?

HijackThis

[thyrex]

Есть подозрение, что у Вас файловый вирус

Выполните скрипт в AVZ

beginExecuteRepair(10);ExecuteRepair(13);RebootWindows(true);end. 

Компьютер перезагрузится.

Если не поможет этот скрипт и доступ к антивирусным сайтам не появится, рекомендую скачать образ DrWeb Live CD, записать его на диск. Скачивание и запись нужно провести на заведомо чистой от вирусов машине (надеюсь таковую найти сможете). На своей машине нужно в BIOS включить загрузку с CD, вставить диск в привод, загрузиться с него и выполнить поиск и лечение вирусов

[Jevgenij]

Пишу с другого компьютера. На заражённом компе сделал скрипт, доступ к сайтам восстановился, но табличка блокировки сайта всплывала. Скачал образ De.Web, зашёл в BIOS, настроил BIOS на CDROM, но программа не запускалась, комп требовал вставить диск, хотя он был вставлен. А теперь не могу запустить Windows, выдаёт ошибку:

0x0000007e 0xc0000005 0x806a9f21 0xf7a06538 0xf7a06234

,

просит изменить настройки, а именно disable caching or shadowing,

пробовал изменить, всё равно Windows не запускается.

Как быть?

Изменено 11 августа, 2009 пользователем akoK

[thyrex]

Вы, наверное, записали его как обычный файл, а нужно было записать образ

[Jevgenij]

Я записал и файл, и образ.

Теперь проблема в том, как из настроек БИОСа загрузить винду.

[akoK]

Подробности о ошибке. И методы устранения.

http://support.microsoft.com/kb/330182/ru

И еще стучится мысль сбросить настройки БИОС.

Просмотрите эту тему и эту

Изменено 11 августа, 2009 пользователем akoK