Показано с 1 по 16 из 16.

Блокирован доступ к антивирусным сайтам (заявка № 51718)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54

    Блокирован доступ к антивирусным сайтам

    Здравствуйте!
    Краткая предыстория: Был блокирован доступ к интернет полностью. НОД обнаружил win32/rootkit.agent.ODG. Почитав форумы, удалил его вручную (два файла system32/***.dll, один system32/drivers/***.sys).
    1. Доступ к интернет появился, вирусов не обнаруживается, но нет доступа на сайты eset, spybot, касперского, виндоусапдейт и пр. (На ваш форум доступ есть ).
    2. Spybot обнаруживает

    Win32.TDSS.reg: Настройки (Изменение реестра, fixing failed)
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\g xvxcserv.sys\modules\gxvxc*!=

    Win32.TDSS.reg: Настройки (Изменение реестра, fixing failed)
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\g xvxcserv.sys\modules\gxvxc*!=

    но не может удалить запись из реестра даже после перезагрузки. (Кстати, как это можно сделать?)
    3. Даете ли Вы рекомендации по безопасности? Раньше был Outpost + NOD32. Сейчас ESS4, и поскольку в нем свой файервол, то Outpost убрал. Есть ли это хорошо? И какие доп программы имеет смысл использовать (Spybot и пр.??).
    Заранее спасибо.
    Вложения Вложения
    Последний раз редактировалось Leopoll; 10.08.2009 в 20:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SetAVZPMStatus(True);
    rebootwindows(true);
    end.
    Компьютер перезагрузится.

    Повторите пункт 2 диагностики.
    сделайте лог gmer

    Цитата Сообщение от Leopoll Посмотреть сообщение
    Даете ли Вы рекомендации по безопасности?
    http://virusinfo.info/showthread.php?t=30339

    Сейчас ESS4, и поскольку в нем свой файервол, то Outpost убрал.
    Правильно, что убрали.

    какие доп программы имеет смысл использовать
    Никакие.

    Поползайте по форуме, тут много чего интересного написано

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    + к предыдущему совету

    Пофиксить в HiJack
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AC8F1281-01F7-4059-99E7-E82897783ABB}: NameServer = 85.255.112.149,85.255.112.214
    Новый лог HiJack тоже сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Ну вот, Gmer нашел то же, что и Spybot. Видимо я теперь узнаю, как это можно удалить .
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('c:\windows\system32\drivers\gxvxcmqhtapskopkmlktlwvymojpupfgbwuri.sys','');
    DeleteFile('c:\windows\system32\drivers\gxvxcmqhtapskopkmlktlwvymojpupfgbwuri.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe
    Код:
    gmer.exe -del service gxvxcserv.sys
    gmer.exe -del file "c:\windows\system32\drivers\gxvxcmqhtapskopkmlktlwvymojpupfgbwuri.sys"
    gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
    gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"
    gmer.exe -reboot
    И запустите cleanup.bat
    Компьютер перезагрузится

    Выполнить рекомендации из сообщения №3

    Сделать новый логи gmer, virusinfo_syscheck.zip и HiJack
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Цитата Сообщение от thyrex Посмотреть сообщение
    + к предыдущему совету

    Пофиксить в HiJack
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AC8F1281-01F7-4059-99E7-E82897783ABB}: NameServer = 85.255.112.149,85.255.112.214
    Новый лог HiJack тоже сделайте
    Прошу прощения, но эти DNS-сервера прописаны по указанию провайдера (Авангард). Без них не работает.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Leopoll Посмотреть сообщение
    Прошу прощения, но эти DNS-сервера прописаны по указанию провайдера (Авангард). Без них не работает.

    Ваш провайдер пользуется троянскими DNS ?
    org-name: UkrTeleGroup Ltd.
    address: UkrTeleGroup Ltd.
    Mechnikova 58/5
    65029 Odessa
    Ukraine
    С этими не перепутали?
    208.67.220.220, 208.67.222.222
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Цитата Сообщение от thyrex Посмотреть сообщение

    Ваш провайдер пользуется троянскими DNS ?
    О-па, опозорился. Сорри.

    Скрипты, походу, не работают. Сейчас вышлю подробности и логи.

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Обратно, сорри.
    Несмотря на то, что скрипты выдавали типа "ошибка карантина, попытка прямого чтения", а батник не находил нужный файл и нужный ключ, логи вроде бы чистые (прилагаю).
    Доступ открылся после удаления троянских DNS-серверов.
    Похоже проблема решена.

    ЗЫ. Gmer пока не сканировал диск С - очень долго.Если необходимо, сделаю.

    ЗЫ,ЗЫ. Можно ли утверждать, что эта проблема имела отношение к удаленному win32/rootkit.agent.ODG, или она вполне самостоятельна?
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от Leopoll Посмотреть сообщение
    ЗЫ,ЗЫ. Можно ли утверждать, что эта проблема имела отношение к удаленному win32/rootkit.agent.ODG
    Цитата Сообщение от Leopoll Посмотреть сообщение
    Доступ открылся после удаления троянских DNS-серверов.
    Зловред и отправлял Вас через троянские адреса

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\msa.exe','');
     DeleteFile('C:\WINDOWS\msa.exe');
    DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новый лог virusinfo_syscheck.zip
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Опять ошибка карантина файла, попытка прямого чтения.
    В карантине ничего нет.
    Вложения Вложения

  13. #12
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Так.., со второго раза что-то образовалось, хотя ошибки были те же. Вроде послал. (Комп неожиданно перезагрузисля, так что не уверен).
    На всякий случай еще один лог, хотя вроде тоже самое.

    Кстати, у Вас не сказано, что надо отключать антивирь перед выполнением скрипта. Видимо надо?
    Вложения Вложения
    Последний раз редактировалось Leopoll; 10.08.2009 в 22:28.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Leopoll Посмотреть сообщение
    у Вас не сказано, что надо отключать антивирь перед выполнением скрипта.
    Сказано: http://virusinfo.info/showthread.php?t=7239
    перед выполнением скрипта необходимо закрыть все приложения и выгрузить всё из трея.
    но очевидно не читано

    Если Вы живёте не в Калифорнии-пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AC8F1281-01F7-4059-99E7-E82897783ABB}: NameServer = 208.67.220.220,208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
    - Сделайте лог GMER
    - Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
    Последний раз редактировалось Rene-gad; 10.08.2009 в 23:27.

  15. #14
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    19
    Вес репутации
    54
    Все-таки про выкл антивиря надо бы писать отдельно. Кроме того, ESS4 вообще не выгружается из трея, можно только сервис остановить. Это так, для будущих поколений.

    Меня беспокоит один факт. Несколько лет я практически не знал что такое вирусы при активном пользовании интернет. При этом антивирь даже не всегда работал. Зато всегда работал Outpost. А тут я перешел на фаервол ESS4 и сразу схватил приключения. Можете подтвердить или опровергнуть мои опасения?
    Какого типа был мой зловред? Где, скорее всего, я мог его схватить - почта, сайты и т.д.?
    Вложения Вложения

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Зловредов нет

    Установите SP3 (может потребоваться активация) + все новые заплатки
    Установите Internet Explorer 8
    Обновите JavaRE
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Leopoll, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Блокируется доступ к антивирусным сайтам.
      От Nikki_Sixx в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.12.2010, 15:40
    2. Пропал доступ к антивирусным сайтам
      От Nekus в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.11.2010, 18:44
    3. Заблокирован доступ к антивирусным сайтам
      От Glukalo2 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 29.10.2010, 21:33
    4. Ответов: 7
      Последнее сообщение: 02.04.2010, 20:10
    5. заблокирован доступ к антивирусным сайтам
      От slonopot в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 08.03.2010, 13:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01445 seconds with 20 queries