Jevgenij Posted August 7, 2009 Report Share Posted August 7, 2009 (edited) Ребята, помогите! Проблема заключается в том, что не загружаются сайты антивирусов и некоторые другие (майкрософта, thepiratebay). Также при включении Mozill'ы Firefox всякий раз нод32 предупреждает, что адрес <удалено> (не заходите!) заблокирован. Я сделал всё, как указано здесь (http://www.softboard.ru/index.php?showtopic=51343), добыл логи, может по ним кто-нибудь определит, в чём проблема? Заранее благодарен. ! Предупреждение:Хотите чтоб не заходили - не публикуйте ссылку. log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt virusinfo_syscheck.zip virusinfo_syscure.zip Edited August 7, 2009 by Ray Link to comment Share on other sites More sharing options...
akoK Posted August 7, 2009 Report Share Posted August 7, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению." Скачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его. Link to comment Share on other sites More sharing options...
Jevgenij Posted August 7, 2009 Author Report Share Posted August 7, 2009 Скачал ComboFix, но он выдаёт ошибку: пробовал переименовать, но всё равно.. Link to comment Share on other sites More sharing options...
thyrex Posted August 7, 2009 Report Share Posted August 7, 2009 Попробуем обойтись стандартными средствами Пофиксить в HiJack O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)O3 - Toolbar: (no name) - {3BB63FD4-3C00-44D7-94A9-5DE211900DEF} - (no file)O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dllO4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exeO4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exeO4 - HKCU\..\Run: [ms18_word] C:\Documents and Settings\xxx\ms18_word.exeO4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\xxx\reader_s.exe (User 'SYSTEM') Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\regedit.exe','');QuarantineFile('C:\RECYCLER\S-1-5-21-7813984536-4000423226-003481040-1157\winservices.exe','');QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\m3SrchMn.exe','');QuarantineFile('C:\Documents and Settings\xxx\ms18_word.exe','');QuarantineFile('C:\Documents and Settings\xxx\xxx.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','');DeleteService('ws2_32sik');DeleteService('systemntmi');QuarantineFile('C:\WINDOWS\system32\drivers\systemntmi.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');DeleteService('sysdrv32');QuarantineFile('C:\WINDOWS\system32\drivers\netsik.sys','');DeleteService('netsik');TerminateProcessByName('c:\windows\system32\reader_s.exe');QuarantineFile('c:\windows\system32\reader_s.exe','');DeleteFile('c:\windows\system32\reader_s.exe');DeleteFile('C:\WINDOWS\system32\drivers\netsik.sys');DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys');DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys');DeleteFile('C:\Documents and Settings\xxx\xxx.exe');DeleteFile('C:\Documents and Settings\xxx\ms18_word.exe');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\m3SrchMn.exe');DeleteFile('C:\RECYCLER\S-1-5-21-7813984536-4000423226-003481040-1157\winservices.exe');DeleteFile('C:\WINDOWS\system32\regedit.exe');DeleteFileMask('C:\WINDOWS\system32', '*.tmp', true);BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('ws2_32sik');BC_DeleteSvc('systemntmi');BC_DeleteSvc('sysdrv32');BC_DeleteSvc('netsik');BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Link to comment Share on other sites More sharing options...
Jevgenij Posted August 8, 2009 Author Report Share Posted August 8, 2009 akoK, я сделал всё, кроме ComboFix'a, т.к. он выдаёт ошибку. Вот лог Gmer'a: Gmer.zip thyrex, ваши советы выполнены. Что делать дальше? Gmer.zip Link to comment Share on other sites More sharing options...
thyrex Posted August 8, 2009 Report Share Posted August 8, 2009 (edited) Сделайте новые логи Кроме того, скопируйте куда-нибудь файл C:\WINDOWS\system32\Drivers\NDIS.sys (скорее всего заражен) и проверьте на virustotal Ссылку на результат проверки сообщите Edited August 8, 2009 by thyrex Link to comment Share on other sites More sharing options...
Jevgenij Posted August 9, 2009 Author Report Share Posted August 9, 2009 Получил ответ от newvirus@kaspersky.com: Здравствуйте,reader_s.exe - Backdoor.Win32.Small.igo В настоящий момент этот файл детектируется. Пожалуйста, обновите антивирусные базы. > > ----------------- С уважением, Виталий Якутенко Вирусный аналитик ЗАО "Лаборатория Касперского" Я нашёл reader_s.exe в папке C:\Documents and Settings\xxx, пока ничего с ним не делал. обновил базы AVZ скоро будут логи. Link to comment Share on other sites More sharing options...
Jevgenij Posted August 9, 2009 Author Report Share Posted August 9, 2009 Вот логи AVZ: virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
thyrex Posted August 9, 2009 Report Share Posted August 9, 2009 Выполните скрипт в AVZ beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\System32\reader_s.exe','');QuarantineFile('C:\Documents and Settings\xxx\reader_s.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');DeleteService('synsend');QuarantineFile('C:\WINDOWS\system32\drivers\weviyiqj.sys','');DeleteService('mzpmotilg');DeleteFile('C:\WINDOWS\system32\drivers\weviyiqj.sys');DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');DeleteFile('C:\Documents and Settings\xxx\reader_s.exe');DeleteFile('C:\WINDOWS\System32\reader_s.exe');BC_ImportAll;ExecuteSysClean;BC_DeleteSvc('synsend');BC_DeleteSvc('mzpmotilg');BC_Activate;RebootWindows(true);end. Компьютер перезагрузится. Выполнить скрипт в AVZ. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Вот это почему-то не сделали Кроме того, скопируйте куда-нибудь файл C:\WINDOWS\system32\Drivers\NDIS.sys (скорее всего заражен) и проверьте на virustotal Ссылку на результат проверки сообщите Link to comment Share on other sites More sharing options...
Jevgenij Posted August 9, 2009 Author Report Share Posted August 9, 2009 Большое спасибо за советы! Всё нормализовалось после последнего скрипта в AVZ. Link to comment Share on other sites More sharing options...
thyrex Posted August 9, 2009 Report Share Posted August 9, 2009 Спрошу в очередной раз Где результат проверки файла C:\WINDOWS\system32\Drivers\NDIS.sys на вирустотал? Сделайте новые логи Link to comment Share on other sites More sharing options...
Jevgenij Posted August 9, 2009 Author Report Share Posted August 9, 2009 http://www.virustotal.com/ru/reanalisis.ht...13f9-1249848838 Link to comment Share on other sites More sharing options...
thyrex Posted August 9, 2009 Report Share Posted August 9, 2009 Ложная тревога. Сделайте новые логи Link to comment Share on other sites More sharing options...
Jevgenij Posted August 9, 2009 Author Report Share Posted August 9, 2009 Логи сделаю завтра! Спокойной ночи! :sm(100): Link to comment Share on other sites More sharing options...
Jevgenij Posted August 10, 2009 Author Report Share Posted August 10, 2009 К сожалению, проблема не решена. По-прежнему блокируются сайты антиыирусов, хотя вчера вечером этого не было. virusinfo_syscheck.zip virusinfo_syscure.zip virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
thyrex Posted August 10, 2009 Report Share Posted August 10, 2009 (edited) c:\windows\system32\spoolsv.exe проверьте на virustotal Ссылку на результат проверки сообщите Новые логи RSIT почему не делаете? Edited August 10, 2009 by thyrex Link to comment Share on other sites More sharing options...
Jevgenij Posted August 10, 2009 Author Report Share Posted August 10, 2009 http://www.virustotal.com/ru/analisis/27fe...4e21-1249924104log.txt info.txt log.txt info.txt Link to comment Share on other sites More sharing options...
thyrex Posted August 10, 2009 Report Share Posted August 10, 2009 C:\Documents and Settings\xxx\Desktop\xxx.exe - это что? Проверьте на вирустотал еще и c:\documents and settings\xxx\desktop\avz4\avz.exe Link to comment Share on other sites More sharing options...
Jevgenij Posted August 10, 2009 Author Report Share Posted August 10, 2009 http://www.virustotal.com/ru/analisis/3c25...7c2d-1249926080 - 1 подозрение http://www.virustotal.com/ru/analisis/d710...e113-1249931753 - 2 подозрения Link to comment Share on other sites More sharing options...
Jevgenij Posted August 10, 2009 Author Report Share Posted August 10, 2009 C:\Documents and Settings\xxx\Desktop\xxx.exe - это что? HijackThis Link to comment Share on other sites More sharing options...
thyrex Posted August 10, 2009 Report Share Posted August 10, 2009 Есть подозрение, что у Вас файловый вирус Выполните скрипт в AVZ beginExecuteRepair(10);ExecuteRepair(13);RebootWindows(true);end. Компьютер перезагрузится. Если не поможет этот скрипт и доступ к антивирусным сайтам не появится, рекомендую скачать образ DrWeb Live CD, записать его на диск. Скачивание и запись нужно провести на заведомо чистой от вирусов машине (надеюсь таковую найти сможете). На своей машине нужно в BIOS включить загрузку с CD, вставить диск в привод, загрузиться с него и выполнить поиск и лечение вирусов Link to comment Share on other sites More sharing options...
Jevgenij Posted August 11, 2009 Author Report Share Posted August 11, 2009 (edited) Пишу с другого компьютера. На заражённом компе сделал скрипт, доступ к сайтам восстановился, но табличка блокировки сайта всплывала. Скачал образ De.Web, зашёл в BIOS, настроил BIOS на CDROM, но программа не запускалась, комп требовал вставить диск, хотя он был вставлен. А теперь не могу запустить Windows, выдаёт ошибку: 0x0000007e 0xc0000005 0x806a9f21 0xf7a06538 0xf7a06234, просит изменить настройки, а именно disable caching or shadowing, пробовал изменить, всё равно Windows не запускается. Как быть? Edited August 11, 2009 by akoK Link to comment Share on other sites More sharing options...
thyrex Posted August 11, 2009 Report Share Posted August 11, 2009 Вы, наверное, записали его как обычный файл, а нужно было записать образ Link to comment Share on other sites More sharing options...
Jevgenij Posted August 11, 2009 Author Report Share Posted August 11, 2009 Я записал и файл, и образ. Теперь проблема в том, как из настроек БИОСа загрузить винду. Link to comment Share on other sites More sharing options...
akoK Posted August 11, 2009 Report Share Posted August 11, 2009 (edited) Подробности о ошибке. И методы устранения. http://support.microsoft.com/kb/330182/ru И еще стучится мысль сбросить настройки БИОС. Просмотрите эту тему и эту Edited August 11, 2009 by akoK Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now