Блокируются все антивирусы, антишпионские программы и сайты

**Jy9001** · 20.07.2011, 10:26

Добрый день.

Некоторое время назад началась проблема. Система блокирует все антивирусы. В программах в папке антивирусника пусто, хотя в принципе он есть. При попытке запустить AVZ она сворачивается и не дозволяется развернуть окно программы. Хотел запустить Virus Removal Tool, так вообще папка с программой не разворачивается. При попытки зайти на любые сайты с антивирусами, проводник сворачивается. Последнее время вообще не могу зайти в интернет, после подключения сразу идет перезагрузка системы. Подозреваю, из-за того что антивирусник пытается автоматически обновиться.

В общем, происходит полная блокировка любых антивирусных программ, сайтов с ними связанных, обновлений.

Кое-как запустил AVZ сделал лог. Из рекомендаций, указанных в правилах, только не выполнил сканирование утилитой системы в безопасном режиме, так как система не позволяет запустить такое сканирование, и не обновил базы AVZ, так как подключение к интернету не возможно - сразу идет перезагрузка.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 20.07.2011, 13:53

- скачайте новую версию AVZ - 4.35
- обновите базы AVZ
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('services32.exe','');
 QuarantineFile('C:\Windows\services32.exe','');
 QuarantineFile('C:\Windows\Temp\6529852.exe','');
 QuarantineFile('C:\Windows\Temp\46032024.exe','');
 QuarantineFile('C:\Windows\Temp\3001334.exe','');
 QuarantineFile('C:\Windows\Temp\173994.exe','');
 QuarantineFile('C:\Windows\Temp\1630740.exe','');
 QuarantineFile('C:\Windows\Temp\1378908.exe','');
 DeleteService('DnsServer_11');
 DeleteService('srvsysdriver32');
 DeleteService('srviecheck');
 DeleteService('ddservice');
 QuarantineFile('C:\Windows\systemup.exe','');
 QuarantineFile('C:\Windows\sysdriver32.exe','');
 QuarantineFile('C:\Windows\l1rezerv.exe','');
 QuarantineFile('C:\Windows\killwindtitle.exe','');
 QuarantineFile('C:\Windows\av_soft.exe','');
 QuarantineFile('C:\Windows\dns.exe','');
 QuarantineFile('c:\windows\winexp.exe','');
 TerminateProcessByName('c:\windows\winexp.exe');
 QuarantineFile('c:\windows\w_distrib.exe','');
 TerminateProcessByName('c:\windows\w_distrib.exe');
 QuarantineFile('c:\windows\systemup.exe','');
 TerminateProcessByName('c:\windows\systemup.exe');
 QuarantineFile('c:\windows\sysdriver32.exe','');
 TerminateProcessByName('c:\windows\sysdriver32.exe');
 QuarantineFile('c:\windows\update.1\svchost.exe','');
 TerminateProcessByName('c:\windows\update.1\svchost.exe');
 QuarantineFile('c:\windows\update.2\svchost.exe','');
 TerminateProcessByName('c:\windows\update.2\svchost.exe');
 QuarantineFile('c:\windows\system32\pnkbstra.exe','');
 QuarantineFile('c:\windows\l1rezerv.exe','');
 TerminateProcessByName('c:\windows\l1rezerv.exe');
 QuarantineFile('c:\windows\killwindtitle.exe','');
 TerminateProcessByName('c:\windows\killwindtitle.exe');
 QuarantineFile('c:\windows\dns.exe','');
 TerminateProcessByName('c:\windows\dns.exe');
 QuarantineFile('c:\windows\av_soft.exe','');
 TerminateProcessByName('c:\windows\av_soft.exe');
 DeleteFile('c:\windows\av_soft.exe');
 DeleteFile('c:\windows\dns.exe');
 DeleteFile('c:\windows\killwindtitle.exe');
 DeleteFile('c:\windows\l1rezerv.exe');
 DeleteFile('c:\windows\update.2\svchost.exe');
 DeleteFile('c:\windows\update.1\svchost.exe');
 DeleteFile('c:\windows\sysdriver32.exe');
 DeleteFile('c:\windows\systemup.exe');
 DeleteFile('c:\windows\w_distrib.exe');
 DeleteFile('c:\windows\winexp.exe');
 DeleteFile('C:\Windows\dns.exe');
 DeleteFile('C:\Windows\av_soft.exe');
 DeleteFile('C:\Windows\l1rezerv.exe');
 DeleteFile('C:\Windows\sysdriver32.exe');
 DeleteFile('C:\Windows\systemup.exe');
 DeleteFile('C:\Windows\update.1\svchost.exe');
 DeleteFile('C:\Windows\update.2\svchost.exe');
 DeleteFile('C:\Windows\w_distrib.exe');
 DeleteFile('C:\Windows\winexp.exe');
 DeleteFile('C:\Windows\Temp\1378908.exe');
 DeleteFile('C:\Windows\Temp\1630740.exe');
 DeleteFile('C:\Windows\Temp\173994.exe');
 DeleteFile('C:\Windows\Temp\3001334.exe');
 DeleteFile('C:\Windows\Temp\46032024.exe');
 DeleteFile('C:\Windows\Temp\6529852.exe');
 DeleteFile('C:\Windows\killwindtitle.exe');
 DeleteFile('C:\Windows\services32.exe');
 DeleteFile('C:\Windows\sysdriver32_.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32_.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysdriver32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wxpdrv');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','l1rezerv.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','killwindtitle.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_soft.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','6529852.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','46032024.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','3001334.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','173994.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','delzipdrivers');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1378908.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systemup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','w_distrib.exe');
 DeleteFile('services32.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте лог MBAM

**Jy9001** · 21.07.2011, 07:00

Скрипт выполнил. Система, более ли менее, ожила. По-крайней мере, сейчас ничего не блокируется. Вот только антивирус куда-то пропал. В Program Files его вообще нет, в "Пуск -> Все программы" название осталось, но там пусто. Стоял Avast. Возможно, вирус его удалил. Видимо, надо установить заново. Запрошенные логи прикрепляю.

**thyrex** · 21.07.2011, 12:35

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\Windows\375701.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\Windows\tray_tmp.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('c:\Windows\loader10.exe_ok', 'MBAM: Malware.Trace');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

c:\program files\need for speed hot pursuit\nfshp_activator.exe (RiskWare.Tool.CK) -> No action taken.

Сделайте новые логи

Антивирус переустановите (или в ярлыках его запуска пропишите путь к его исполняемому файлу, который вирус заменил своим)

Сделайте лог ComboFix

**Jy9001** · 21.07.2011, 16:32

Все рекомендации выполнил. Логи прикрепляю. Только карантин прикрепить не получилось, так как я его уже прикреплял по рекомендациям первого ответа, а второй раз прикрепить карантин к этой ветке он не дает.

**thyrex** · 22.07.2011, 10:57

Код:

c:\windows\antivirus2011.exe
c:\windows\iecheck.exe

Эти файлы Вам известны? Если нет, запакуйте их с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы

**Jy9001** · 25.07.2011, 19:29

Данных файлов в системе обнаружить не удалось. Я заново установил Avast и просканировал систему, удаляя все подозрительные файлы. Возможно, эти файлы также были удалены антивирусом. Ваше сообщение прочитал уже после сканирования.

**thyrex** · 25.07.2011, 23:16

Что с проблемой?

**Jy9001** · 26.07.2011, 17:22

Большое спасибо. Вроде пока все работает стабильно.

**CyberHelper** · 27.07.2011, 17:22

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 60
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\av_soft.exe - Trojan.Win32.FakeAV.xtj ( DrWEB: Trojan.FakeAV.3124, BitDefender: Trojan.Generic.5386408, NOD32: Win32/Delf.QBZ trojan, AVAST4: Win32:Malware-gen )
2. c:\\windows\\dns.exe - Trojan.Win32.VkHost.dam ( DrWEB: Trojan.KillProc.5513, BitDefender: DeepScan:Generic.Malware.SFTkg.EBA207DC, AVAST4: Win32:Delf-QBF [Trj] )
3. c:\\windows\\killwindtitle.exe - Trojan.Win32.Scar.dhxa ( DrWEB: Trojan.MulDrop1.57842, BitDefender: DeepScan:Generic.Malware.SP!BVPkTkg.6B8B14EA, NOD32: Win32/KillAV.NKK trojan, AVAST4: Win32:Malware-gen )
4. c:\\windows\\l1rezerv.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.DownLoad2.30127, BitDefender: Trojan.Agent.ASAJ, NOD32: Win32/TrojanDownloader.Delf.QQI trojan, AVAST4: Win32:Delf-QBF [Trj] )
5. c:\\windows\\sysdriver32.exe - Trojan.Win32.Scar.eajx ( DrWEB: Trojan.KillProc.8870, BitDefender: Trojan.Agent.ASEX, NOD32: Win32/TrojanDownloader.Delf.QCY trojan, AVAST4: Win32:Delf-QBF [Trj] )
6. c:\\windows\\systemup.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.KillProc.9284, BitDefender: Trojan.Generic.6153897, AVAST4: Win32:Delf-QBF [Trj] )
7. c:\\windows\\update.1\\svchost.exe - Trojan-PSW.Win32.VKont.bjc ( DrWEB: BackDoor.VkBase.47, BitDefender: Generic.Malware.SFPYVdPkTkWkg.64E22ACF, AVAST4: Win32:Delf-QBF [Trj] )
8. c:\\windows\\update.2\\svchost.exe - Trojan.Win32.VkHost.dvj ( DrWEB: Trojan.DownLoader3.30182, BitDefender: Generic.Malware.SFHYVdhidWkg.628A73CB, AVAST4: Win32:Delf-QBF [Trj] )
9. c:\\windows\\w_distrib.exe - Trojan.Win32.Scar.dufo ( DrWEB: Trojan.KillProc.5864, BitDefender: Trojan.Generic.5748198, NOD32: Win32/Delf.OAD trojan, AVAST4: Win32:Delf-QBF [Trj] )
10. c:\\windows\\winexp.exe - Trojan-Downloader.Win32.Delf.bane ( DrWEB: Trojan.PWS.Banker.54812, BitDefender: Trojan.Generic.5582454, NOD32: Win32/Delf.QBV trojan, AVAST4: Win32:Delf-QBF [Trj] )

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

Блокируются все антивирусы, антишпионские программы и сайты (заявка № 106066)

Опции темы

Блокируются все антивирусы, антишпионские программы и сайты

Это понравилось:

Антивирусная помощь

Это понравилось:

Антивирусная помощь

Антивирусная помощь

Итог лечения

Похожие темы

Не работают программы, блокируются антивирусы, не запускаются браузеры.

Блокируются антивирусы и их сайты

Не запускаются некоторые программы, блокируются сайты антивирусов

Блокируются антивирусы

Блокируются антивирусы, не запускаются некоторые программы

Ваши права в разделе