PDA

Просмотр полной версии : Сначала перестал обновляться антивирус...



Anchivotika
27.09.2008, 10:22
Здравствуйте.
Долго бродила по инету, пока наконец не наткнулась на Ваш сайт (искала в гугле bndmss.exe). Чему чрезвычайно рада, Вы мне уже помогли (ибавиться от многих гадостей на компе), за что Вам огромное спасибо, обязательно расскажу про Вас всем-всем-всем ну и чем смогу помогу, потому что то, что Вы делаете, реально работает и помогает.
Немного истории.
С месяц назад перестал обновляться антивирус (Symantec), говорит Unable to connect to host, убедитесь что вы подключены к интернету. А также примерно в то же время отключился Windows Firewall (и на вкладке, где его включают, все, что называется greyed out, т.е. без вариантов вкл./выкл.). Но в те времена голова была занята другим и я на это внимания не обратила.
Позднее каждый раз, как только пропадал интернет, выскакивало сообщение об ошибке программы lsivs.exe, причем кликать Don't send error report можно было до бесконечности. В конце концов тупо удалила его из WINDOWS\system32 и он успокоился.
А на прошлой неделе мой комп стал пытаться отсылать кучу спама на левые адреса, и постоянно выскакивали сообщения от Symantec о том что он эту ерунду отсылать отказывается (ну хоть на том ему спасибо). Отключала интернет, видя такое безобразие, и как-то выскочила ошибка об bndmss.exe, но каждый раз при удалении этой гадости из WINDOWS\system32 и из процессов на startup он появлялся вновь.
Много чем сканировала (из бесплатного) - не помогает. Наконец вчера под вашим чутким руководством просканировала в Safe mode с помощью Kaspersky Lab Tool. Заняло 10 часов, но зато, наконец, убрался этот bndmss.exe, а также exe.32.exe, а также из папки Symantec Antivirus: diss.exe и skp66.exe (я так подозреваю это из-за них он не обновляется?). Плюс удалились 500 с лишним вирусов, что были у Symantec в карантине.
Остались проблемы:
1. Антивирус по-прежнему не обновляется, фаервол не включается (или здесь стоит искать причину в другом?)
2. До этого (пару дней назад) пробовали установить Dr.Web (не Cureit), возможно он вступил в конфликт с Symantec, выдал кучу ошибок, убрали его как смогли, но теперь каждый раз при загрузке компа появляется ошибка о работе System Settings Protector. Детали: AppName: teatimer.exe, AppVer: 1.6.2.23, ModName: kernel32.dll и все такое, а потом: Exception EOutOfResources in module TeaTimer.exe at 000468FC. Cannot create shell notification icon. Нажимаешь ОК, все дальше работает, но в чем может быть проблема?
3. Может, это вовсе к делу не относится, но каждый раз при выключении компа выдается ошибка по поводу application error tcsd_win32.exe - это тоже уже больше месяца.

Если у Вас есть рекомендации по этим трем пунктам (особенно по первому), буду очень благодарна. Еще раз Спасибо Вам за все, что Вы делаете (извините за длинный пост).

drongo
27.09.2008, 10:43
http://virusinfo.info/showthread.php?t=1235

Anchivotika
27.09.2008, 11:11
Извиняюсь, с первого раза что-то не то нажалось, не успела прикрепить.

Rene-gad
27.09.2008, 11:52
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт (http://virusinfo.info/showthread.php?t=7239)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\exe32.exe','');
DelBHO('{A1FF3ECE-0EC3-4035-A67D-726A574748B8}');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DelBHO('{16664845-0E00-11D2-8059-000000000000}');
DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\exe32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После перезагрузки:
- Очистите (http://virusinfo.info/showthread.php?t=10025)темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.

Anchivotika
28.09.2008, 09:38
Деинсталила Spyboot - ошибка на startup больше не появляется. С антивирусом и фаерволом пока все по-прежнему.
Спасибо за помощь!

Rene-gad
28.09.2008, 10:32
Антивирус - удалите, почистите реестр, воспользуйтесь Norton removal tool: http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039 Внимание на версию!!! Потом по возможности скачайте и установите последнюю версию программы.
Антивирус с необновленными базами хуже чем отсутствующий антивирус.
Файрвол: http://virusinfo.info/showthread.php?t=30079

Anchivotika
29.09.2008, 13:50
Спасибо за фаервол – работает :-) (в любом случае поставлю что-нибудь посерьезнее).
Насчет антивируса: снова установила Spybot, он нашел кучу Redirected Hosts, в основном антивирусных сайтов (в первую очередь Symantec.com, liveupdate.symantec.com – из-за чего он и не обновлялся). Говорит, во всем виноваты Hijack. А в Spybot отчет такой:
Microsoft.Windows.RedirectedHosts: [SBI $2CF31C11] Redirected host (Redirected host, fixed)
symantec.com=127.0.0.1
Т.е. при попытке открыть symantec.com в интернет эксплорере появлялось следующее: urlseek20.vmn.net/search.php?q=http%3A%2F%2Fwww.symantec.com%2F&tbn. ..бла-бла. А если попробовать в Опере – вообще ничего не происходило, никаких сообщений что сайт не найден и т.п., просто пустая страница.
При помощи “Fix problems” в Spybot эти сайты снова работают, но такое ощущение что он «лечит» последствия, а не причину, и через некоторое время эти redirected hosts появляются вновь.
Но, по крайней мере, база в Symantec обновилась и пока проблем вроде нет.
Думаю, во всем виноват Dealio. Как-то давно по глупости установила его toolbar (в качестве опции при установке другой глупости). Через минуту передумала и деинсталила, но поздно.
Каждый раз при попытке Change search defaults в IE на Google, при повторном открытии IE в качестве default стоит Yahoo.search (хотя я его удаляла из списка). Пробовала переустановить IE – не помогает.
Поискала на форумах – вроде есть способы избавиться от этого, надо попробовать. Хотела спросить – есть ли у вас способы борьбы с этими urlseek20..?
Насчет версии антивируса – у меня сейчас Symantec Antivirus Corporate Client NT, версия 9.0.1.1000. А последняя версия, говорят, 10.1.5.5000.
Я просто на версию раньше никогда внимания не обращала и не знаю, должна ли она обновляться автоматически, или ее нужно скачивать и устанавливать? Symantec при liveupdate никаких ошибок не выдает, а других кнопок update я в нем не нашла.
Один из redirected hosts – updates.symantec.com (или update.symantec.com) – никогда туда не ходила, но он в списке, и хотя spybot говорит «fixed», но для меня он по-прежнему не работает и выдает urlseek20…
Извиняюсь, что приходится занимать Ваше время и внимание, но может, у Вас есть совет по этому поводу?
Еще раз большое спасибо.

Ура! Наконец-то мне ответили наши айтишники и скинули новую версию антивируса.
С urlseek20.vmn.net все оказалось просто: удалила программы Search Settings и Search Assistant (и откуда только они взялись :-), и все встало на свои места. Значит, в redirected hosts виноват был один из троянов.
Как же все-таки приятно, что все чистенько и работает :-D

CyberHelper
22.02.2009, 08:19
Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 7
В ходе лечения вредоносные программы в карантинах не обнаружены