Не работают браузеры [Hoax.Win32.ArchSMS.hrmo, Trojan-Ransom.Win32.PornoAsset.afa ]

[Makson349]

Здравствуйте.
У меня на компьютере не работает ни один браузер, при этом интернет работает, работает icq, пингуются сайты. В браузерах же страницы не загружаются. При этом загружается только заголовок страницы, и бесконечно долго идёт загрузка содержимого страницы. Так же загружаются некоторые малоизвестные сайты. Портативные опера и фаерфокс также не работают. Компьютер подключен через кабель к роутеру. (На ноуте и телефоне, подключённому к роутеру через wi-fi всё в порядке.

Проверка через Kaspersky virus removal tool результатов не дала, как и проверка через AVZ. Проверял прокси, файл хостс, реестр, прописывал в DNS гугловские адреса 8.8.8.8, 8.8.4.4, делал откат системы на месяц назад - по нулям.

Стоит отметить, что пару раз проблема уходила сама собой и всё работало, потом снова переставало.

Обновить AVZ не удалось, загрузка обновлений зависла, подозреваю, что это опять опять проблемы с соединением.

Когда выполнял в AVZ скрипт «лечение, карантин и сбор информации...» сначала вылазило сообщение «в устройстве нет диска». Сначала проблему устранить получилось многократным нажатием «отмена», но в конце проверки так сделать не вышло, сообщение не пропадало, в результате этого лога нет.

[Info_bot]

Уважаемый(ая) Makson349, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Перед созданием логов надо было закрыть все программы, включая GTA
+

Внимание !!! База поcледний раз обновлялась 30.01.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.39.

Пожалуйста обновите базы

- - - Добавлено - - -

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('H:\Documents and Settings\user\Application Data\netprotocol.exe','');
 DeleteFile('H:\Documents and Settings\user\Application Data\netprotocol.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Сделайте лог полного сканирования МВАМ.

[Makson349]

Выполнил скрипты, но проблема осталась в том же виде.

Забыл сразу написать, что обновить базу AVZ не удалось, т. к. загрузка обновлений зависла, то же самое и с обновлениями для MBAM.

При создании лога действительно был запущен Total commander, но уж точно не GTA.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('H:\Documents and Settings\All Users\Application Data\22CC6C32.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('H:\Documents and Settings\All Users\Application Data\bbbbrrrrrrr.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP102\A0060600.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP125\A0069356.exe', 'MBAM: Rootkit.0Access.XGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP452\A0112282.exe', 'MBAM: Backdoor.Bot.oooGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP452\A0112283.exe', 'MBAM: Backdoor.Bot.oooGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP471\A0115354.exe', 'MBAM: Trojan.Agent');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP471\A0115628.exe', 'MBAM: Malware.NSPack');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP530\A0135718.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP74\A0039460.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP80\A0040475.exe', 'MBAM: Trojan.RepackedSetup');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP83\A0054603.exe', 'MBAM: Spyware.Passwords.XGen');
QuarantineFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP85\A0055743.exe', 'MBAM: Trojan.RepackedSetup');
QuarantineFile('H:\Documents and Settings\user\Application Data\wndsksi.inf', 'MBAM: Malware.Trace');
QuarantineFile('H:\Documents and Settings\user\Application Data\igfxtray.dat', 'MBAM: Malware.Trace');
QuarantineFile('H:\WINDOWS\system32\ieunitdrf.inf', 'MBAM: Malware.Trace');
QuarantineFile('H:\Program Files\aps\aps\ebite45345345345.vbs', 'MBAM: Backdoor.Bot.oooGen');
QuarantineFile('H:\Program Files\aps\aps\dioltche_gs.bat', 'MBAM: Backdoor.Bot.oooGen');
QuarantineFile('H:\Program Files\aps\aps\main.txt', 'MBAM: Backdoor.Bot.oooGen');
QuarantineFile('H:\Program Files\aps\aps\oshka.txt', 'MBAM: Backdoor.Bot.oooGen');
QuarantineFile('H:\Program Files\aps\aps\sem2243ero.vbs', 'MBAM: Backdoor.Bot.oooGen');
DeleteFile('H:\Documents and Settings\All Users\Application Data\22CC6C32.exe');
DeleteFile('H:\Documents and Settings\All Users\Application Data\bbbbrrrrrrr.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP102\A0060600.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP102\A0060601.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP125\A0069356.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP452\A0112282.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP452\A0112283.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP471\A0115354.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP471\A0115628.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP530\A0135718.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP530\A0135719.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP532\A0136278.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP532\A0136279.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP74\A0039460.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP74\A0039477.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP78\A0040001.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP80\A0040475.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP83\A0054603.exe');
DeleteFile('H:\System Volume Information\_restore{83C79523-04A8-4D26-A9BB-808522F4DCD3}\RP85\A0055743.exe');
DeleteFile('H:\Documents and Settings\user\Application Data\wndsksi.inf');
DeleteFile('H:\Documents and Settings\user\Application Data\igfxtray.dat');
DeleteFile('H:\WINDOWS\system32\ieunitdrf.inf');
DeleteFile('H:\Program Files\aps\aps\ebite45345345345.vbs');
DeleteFile('H:\Program Files\aps\aps\dioltche_gs.bat');
DeleteFile('H:\Program Files\aps\aps\main.txt');
DeleteFile('H:\Program Files\aps\aps\oshka.txt');
DeleteFile('H:\Program Files\aps\aps\sem2243ero.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи, но перед этим снова постарайтесь обновить базы.

- - - Добавлено - - -

+ Сделайте лог Gmer

[Makson349]

Скрипты выполнил, но проблему это не решило. Обновить АВЗ также не удалось.

[regist]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   Код:

   tdsskiller.exe -silent -qmbr -qboot

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Заархивруйте эту папку с паролем virus. И и загрузите по ссылке Прислать запрошенный карантин вверху темы.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[Makson349]

Карантин отправил, добавляю лог

[regist]

запустите сканирование TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
ничего не удаляйте.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

- - - Добавлено - - -

+ скачайте AVZ отсюда http://rghost.ru/45115849 и сделайте свежие логи.

[Makson349]

Переделал лог TDSSKiller через команду tdsskiller.exe -l report.txt.
Переставил АВЗ, обновил лог.

[regist]

Переделал лог TDSSKiller через команду tdsskiller.exe -l report.txt.

можно было просто через GUI просканировать,

по проблеме всё без изменений ? в карантине всё чистое ...

- - - Добавлено - - -

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- - - Добавлено - - -

+ просканируйте MBAM заново и прикрепите новый лог.

[Makson349]

Спасибо за стремление помочь, но, похоже, я шёл не тем путём. Довольно сложно было бы установить предложенные обновления, с учётос того, что интернет по сути не работает)
Поэтому я попросту снёс винду, отформатировав винчестер. И был неприятно удивлён тем, что даже после этого IE не грузил ничего. Проблема осталась в том же виде! Тут я догадался зайти в настройки роутера, и нашёл-таки в разделе «маршрутизация» кучу совершенно левых адресов. Сменил все пароли, вернул роутер раз 10 к заводским настройкам, обновил прошивку - всё по-прежнему. Причём, если отключить кабель от порта wan роутера и перенастроить его заново, то левые ip адреса пропадают, но сразу же после подключения кабеля к роутеру появляются снова. Т. е. похоже, что настройки роутера меняются сами после соединения его с интернетом, и это при изменённом пароле доступа к настройкам роутера (до этого логин/пароль были стандартные: admin/admin). При этом самым удивительным остаётся то, что ноут и телефон, подключённые к роутерк через wi-fi работают без проблем.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 68
• В ходе лечения обнаружены вредоносные программы:
  
  1. h:\\documents and settings\\all users\\application data\\bbbbrrrrrrr.exe - Trojan-Ransom.Win32.PornoAsset.afa ( DrWEB: Trojan.Winlock.3445, BitDefender: Trojan.Generic.KD.269671, AVAST4: Win32:Rootkit-gen [Rtk] )
  2. h:\\documents and settings\\all users\\application data\\22cc6c32.exe - Trojan-Ransom.Win32.PornoAsset.afa ( DrWEB: Trojan.Winlock.3445, BitDefender: Trojan.Generic.KD.269671, AVAST4: Win32:Rootkit-gen [Rtk] )
  3. h:\\program files\\aps\\aps\\dioltche_gs.bat - Trojan.VBS.Qhost.av ( AVAST4: BV:Bicololo-BL [Trj] )
  4. h:\\program files\\aps\\aps\\ebite45345345345.vbs - HEUR:Trojan-Downloader.Script.Generic ( BitDefender: Trojan.VBS.Downloader.BS, AVAST4: VBS:Bicololo-AL [Trj] )
  5. h:\\program files\\aps\\aps\\sem2243ero.vbs - HEUR:Trojan.Script.Generic ( AVAST4: VBS:Bicololo-AP [Trj] )
  6. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp102\\a0060600.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Winlock.3445, BitDefender: Rootkit.48140, AVAST4: Win32:Kryptik-BZP [Trj] )
  7. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp125\\a0069356.exe - Trojan.Win32.Jorik.Carberp.cf ( DrWEB: Trojan.Carberp.12, BitDefender: Trojan.Generic.KD.311236, AVAST4: Win32:Carberp-DJ [Trj] )
  8. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp452\\a0112282.exe - Trojan.VBS.Qhost.av ( DrWEB: Trojan.Hosts.6719, BitDefender: Trojan.Generic.8635213, AVAST4: Win32:Bicololo-EB [Trj] )
  9. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp452\\a0112283.exe - Trojan.VBS.Qhost.av ( DrWEB: Trojan.Hosts.6719, BitDefender: Trojan.Generic.8635213, AVAST4: Win32:Bicololo-EB [Trj] )
  10. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp471\\a0115354.exe - Trojan-Downloader.VBS.Agent.afn ( BitDefender: Trojan.Generic.8457677, AVAST4: Win32:Bicololo-EN [Trj] )
  11. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp530\\a0135718.exe - Trojan-Ransom.Win32.PornoAsset.afa ( DrWEB: Trojan.Winlock.3445, BitDefender: Trojan.Generic.KD.269671, AVAST4: Win32:Rootkit-gen [Rtk] )
  12. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp74\\a0039460.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.Hottrend, BitDefender: Gen:Variant.Kazy.21010 )
  13. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp80\\a0040475.exe - Hoax.Win32.ArchSMS.hrmo ( DrWEB: Trojan.SMSSend.622, BitDefender: Application.SMShoax.K, AVAST4: Win32:Malware-gen )
  14. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp83\\a0054603.exe - Trojan-Ransom.Win32.PornoAsset.hr ( DrWEB: Trojan.Winlock.3445, BitDefender: Trojan.Generic.6589979 )
  15. h:\\system volume information\\_restore{83c79523-04a8-4d26-a9bb-808522f4dcd3}\\rp85\\a0055743.exe - Hoax.Win32.ArchSMS.hrmo ( DrWEB: Trojan.SMSSend.622, BitDefender: Application.SMShoax.K, AVAST4: Win32:Malware-gen )