Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Нет доступа к сайтам антивирусов (http://forum.oszone.net/showthread.php?t=179293)

Tatik1997 27-06-2010 22:20 1442816
Нет доступа к сайтам антивирусов
 
Здравтсвуйте. Нет доступа к сайтам drweb, kaspersky, virusinfo, z-oleg... Нет возможности обновить программы, поэтому высылаю логи, сделанные с обновлениями от 24.05.10

icotonev 27-06-2010 22:32 1442826
Добрый вечер!Подготовить лог HijackThis

MotherBoard 27-06-2010 22:33 1442827
здравствуйте.

НЕ вынимайте устройство : диск F из ПК
выполните скрипт

Код:
Begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
end.
Потом выполните такой скрипт:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\\?\globalroot\systemroot\system32\i8zdebp.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\njqhstt.exe','');
QuarantineFile('С:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('f:\autorun.inf','');
 DeleteFile('\\?\globalroot\systemroot\system32\i8zdebp.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\njqhstt.exe');
 DeleteFile('f:\autorun.inf');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
Комп перезагрузится
выполните скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи AVZ плюс лог HJT и логи RSIT
если появится доступ к антивирусным сайтам, обновите базы AVZ

Tatik1997 27-06-2010 23:14 1442849
После выполнения двух вышеуказанных скриптов доступ к сайтам появился.

Спасибо вам большое за помощь и оперативную работу.

MotherBoard 27-06-2010 23:28 1442857
Повторите хотя бы логи AVZ и HiJackThis

Tatik1997 27-06-2010 23:49 1442865
Вот необходимые логи. Лог HiJackThis сделан, но прикрепить его не удалось почему-то.

Tatik1997 27-06-2010 23:54 1442868
Вложений: 1
Содержимое файла hijackthis, скопированное в Word.

MotherBoard 28-06-2010 00:03 1442876
И всё таки параметр UserInit не чистый...
Логи AVZ посмотрела.
Поэтому профиксьте в
HJT
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\I8ZDeBp.exe,\\?\globalroot\systemroot\system32\NJQhSTt.exe,
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
И повторите логи AVZ, HJT и RSIT

thyrex 28-06-2010 00:13 1442879
Цитата:
Цитата MotherBoard
RSIT »
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Tatik1997 28-06-2010 11:59 1443084
Вложений: 3
Прикрепляю логи.

Drongo 28-06-2010 16:10 1443231
Tatik1997, Дочистите остатки от вирусов.

• Скачайте OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\thl8dmq.exe
C:\WINDOWS\system32\A72D1Rx.exe
C:\WINDOWS\system32\eeExaWV.exe
C:\WINDOWS\system32\SYafJPo.exe
C:\WINDOWS\system32\QbsUNbx.exe
C:\WINDOWS\system32\7rthr0m.exe
C:\WINDOWS\system32\CdN3JbA.exe
C:\WINDOWS\system32\CfBahCp.exe
C:\WINDOWS\system32\xcGl2p7.exe
C:\WINDOWS\system32\F6K5hQ2.exe
C:\WINDOWS\system32\3IvxRfJ.exe
C:\WINDOWS\system32\olQyMge.exe
C:\WINDOWS\system32\NlkI0Da.exe
C:\WINDOWS\system32\hwkZaHK.exe
C:\WINDOWS\system32\9nTc6Rt.exe
C:\WINDOWS\system32\ipoU8UW.exe
C:\WINDOWS\system32\5ZlfdpA.exe
C:\WINDOWS\system32\3LiqMoi.exe
C:\WINDOWS\system32\1bBYm12.exe
C:\WINDOWS\system32\V2snG5S.exe
C:\WINDOWS\system32\DQ9xPvi.exe
C:\WINDOWS\system32\jc4yPwg.exe
C:\WINDOWS\system32\8rRwLrm.exe
C:\WINDOWS\system32\rfV6APf.exe
C:\WINDOWS\system32\tu0oC3l.exe
C:\WINDOWS\system32\BvxJrPF.exe
C:\WINDOWS\system32\NUyESyN.exe
C:\Program Files\Common Files\keylog.txt

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Повторите новый лог RSIT.

Tatik1997 28-06-2010 18:27 1443302
Вложений: 1
  • log.txt (15.60 KB, скачиваний: 12)
Вот текст из окна под панелью "Results"
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\thl8dmq.exe moved successfully.
C:\WINDOWS\system32\A72D1Rx.exe moved successfully.
C:\WINDOWS\system32\eeExaWV.exe moved successfully.
C:\WINDOWS\system32\SYafJPo.exe moved successfully.
C:\WINDOWS\system32\QbsUNbx.exe moved successfully.
C:\WINDOWS\system32\7rthr0m.exe moved successfully.
C:\WINDOWS\system32\CdN3JbA.exe moved successfully.
C:\WINDOWS\system32\CfBahCp.exe moved successfully.
C:\WINDOWS\system32\xcGl2p7.exe moved successfully.
C:\WINDOWS\system32\F6K5hQ2.exe moved successfully.
C:\WINDOWS\system32\3IvxRfJ.exe moved successfully.
C:\WINDOWS\system32\olQyMge.exe moved successfully.
C:\WINDOWS\system32\NlkI0Da.exe moved successfully.
C:\WINDOWS\system32\hwkZaHK.exe moved successfully.
C:\WINDOWS\system32\9nTc6Rt.exe moved successfully.
C:\WINDOWS\system32\ipoU8UW.exe moved successfully.
C:\WINDOWS\system32\5ZlfdpA.exe moved successfully.
C:\WINDOWS\system32\3LiqMoi.exe moved successfully.
C:\WINDOWS\system32\1bBYm12.exe moved successfully.
C:\WINDOWS\system32\V2snG5S.exe moved successfully.
C:\WINDOWS\system32\DQ9xPvi.exe moved successfully.
C:\WINDOWS\system32\jc4yPwg.exe moved successfully.
C:\WINDOWS\system32\8rRwLrm.exe moved successfully.
C:\WINDOWS\system32\rfV6APf.exe moved successfully.
C:\WINDOWS\system32\tu0oC3l.exe moved successfully.
C:\WINDOWS\system32\BvxJrPF.exe moved successfully.
C:\WINDOWS\system32\NUyESyN.exe moved successfully.
C:\Program Files\Common Files\keylog.txt moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Toma
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 146023114 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 10144 bytes

%systemdrive% .tmp files removed: 2048 bytes
%systemroot% .tmp files removed: 2339456 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 97 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytesс
RecycleBin emptied: 539560 bytes

Total Files Cleaned = 142,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 06282010_221102

Files moved on Reboot...

Registry entries deleted on Reboot...

И новый лог RSIT.

Drongo 28-06-2010 18:48 1443309
Tatik1997, Запустите ещё раз программу OTMoveIt и нажмите кнопочку CleanUp! после перезагрузки программа и все следы от неё удалятся. :)

Если проблем нет, отмечайте тему решённой.


Время: 16:50.

Время: 16:50.
© OSzone.net 2001-