Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Вирус:открываются китайские сайты, блокируется установка антивирусов, зависает AVZ (заявка № 26614)

  1. #1
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31

    Question Вирус:открываются китайские сайты, блокируется установка антивирусов, зависает AVZ

    Добрый вечер. У меня возникла следующая проблема:
    После контакта с зараженной флешкой на компьютере при работе с браузером постоянно открываются новые окна интернет эксплорера(причем неважно в каком браузере я работаю, новые окна открываются все равно в интернет експлорере) с ссылками на китайские(японские? вообщем восточные) сайты с рекламой и непонятной кодировкой. Так же компьютер стал притормаживать, иногда выдавать ошибки и т.д.
    На компьютере был установлен антивирус Касперского 6.0 с не очень новыми базами. После возникновения этой проблемы я решил запустить его на скан - но при запуске касперского ничего не происходило кроме диких тормозов системы(в списке процессов avp появлялся, но ничего не делал). Я решил попробовать установить какой-то другой антивирус, но все попытки инстала не работали(во время процесса экстракта окно инстала просто пропадало, причем у инсталяторов всех антивирусов которые у меня были: panda, drweb, bit и еще несколько). Я попробовал удалить старого касперского и поставить другого - после установки он как и прежде не смог запустится...
    Я полез искать информацию в интернете(прежде всего по ссылкам сайтов, на которые вирус редиректит), но ничего похошего по симптомам не нашел.
    Скачал АВЗ - но при начале проверки он повис. Скачал пингпонг - он нормально начал сканирование, но ничего особого не нашел(предложил скинуть пару файлов в карантин, я перезагрузился - но ничего не изменилось, АВЗ как вис, так и виснет, касперский как не работал, так и не работает.
    Безопасный режим не работает(перезагружается система).
    Почему-то таск менеджер жрет до 20% загружености ЦП.
    Это пока те симптомы, которые я смог обнаружить, мб есть чтото еще.
    Помогите плз!))))

    вот странички на которые он редиректит
    h**p://www-qq-com.kankev.com/qq2008/reg.html?username=hh88&zhaosp=qq
    h**p://www.91qianming.cn/?aid=9974
    и еще несколько
    ссылки наверное тоже содержат вирусные скрипты, так что осторожно
    Вложения Вложения

  2. Реклама
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Отключите восстановление системы.

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\com\lsass.exe');
     TerminateProcessByName('c:\windows\system32\com\smss.exe');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\pagefile.pif','');
     QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
     QuarantineFile('C:\WINDOWS\System32\bcm1xsup.dll','');
     QuarantineFile('c:\windows\system32\com\lsass.exe','');
     QuarantineFile('c:\windows\system32\com\smss.exe','');
     DeleteFile('C:\System Volume Information\_restore{E51478C0-6351-4701-A608-08CF05C6F1C8}\RP253\A0062572.pif');
     DeleteFile('C:\System Volume Information\_restore{E51478C0-6351-4701-A608-08CF05C6F1C8}\RP251\A0061458.pif');
     DeleteFile('c:\windows\system32\com\smss.exe');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('C:\pagefile.pif');
     DeleteFile('C:\autorun.inf');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26614

    Обновите базы АВЗ.

    Повторите логи, только все 3 лога.

  4. #3
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    карантин прислал, сейчас повторяю скрипты на логи, НО! я не могу обновить базы, поскольку в переименованном АВЗ(пингпонге) не высвечивается пункт меню "Обновить базы"

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    А попробуйте теперь нормальную версию.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Пока обновлять не обязательно - у Вас червь Xorer. Покажите новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    Скачал и запустил HijakThis, но он при запуске сканирования выдал ошибку, если нажать "да" или "нет" - результат один - рограмма зависает. Я пробовал скачать переименованную версию Хиджака - но с ней абсолютно тоже самое скриншот с ошибкой прилагаю

    нормальная версия АВЗ - точно так же зависает. Следовательно логи сделаны на пингпонге с необновленными базами(((
    Изображения Изображения
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    Может это конечно параноя - но как только я зашел в гугл и начал искать описание этого червя - эксплорер сразу сдох и компьютер повис. После перезагрузки в самом начале работы виндоуса он начал запускать огромное количество одинаковых процессов lsass.exe и комп подвис о5. После следующей перезагрузки начал ругаться на отсуствие модема, выдал критическую ошибку svhost.exe и комп завис. После следующей загрузки все вроде бы нормально.
    Что это за зверь такой? О_О

    Добавлено через 1 час 13 минут

    оказалось, не параноя. он действительно убивает комп, когда вводишь где либо его название(проверено раз 5)... буду очень благодарен, если ктото скинет ссылку на его описание в интернете.
    Последний раз редактировалось Влад Мистецкий; 17.07.2008 в 04:46. Причина: Добавлено

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Выполнить в пингпонге.
    Попробуем вот этот скрипт:

    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('c:\windows\system32\com\smss.exe');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('C:\pagefile.pif');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\NetApi000.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
     DeleteFile('C:\037589.log');
     DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
     DeleteFileMask('c:\', 'lsass.exe.*', false);
     DeleteFileMask('c:\documents and settings\all users\Главное меню\Программы\Автозагрузка', '*.exe', false);
    BC_ImportALL;
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    ExecuteRepair(6);
    RebootWindows(true);
    end.
    После сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    done
    Вложения Вложения

  11. #10
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    После последнего скрипта все симптомы вируса пропали(не вылетает ИЕ при поиске его по названию, начал запускаться касперский, перестал зависать нормальный АВЗ).
    Сейчас попробую пробежаться АВЗ со свежеми базами, потом каспером и другими антивирусами

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Нужен лог Хиджака

  13. #12
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    хиджак нормально запустился, вот лог
    Вложения Вложения

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    Пофиксить

    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
    DeleteFile('C:\WINDOWS\system32\dnsq.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,510
    Вес репутации
    1276
    Еще не забудьте выполнить пункт 2 правил - этот червь может идти напару с файловым вирусом.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  16. #15
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    вот логи, сейчас проверюсь КьюрИтом
    Вложения Вложения

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    В логах чисто,нужно очистить временные файлы,кеш браузера и проверится свежим куритом...

  18. #17
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    Курит еще не доконца проверил, но пока нашел Рокс только в карантинных файлах АВЗ.
    Кеш и темпорери удалил.

    Но у меня есть несколько вопросов.
    1)как очистить флешку, на которой находится этот вирус(если там есть документы, которые нужно сохранить, тоесть полное форматирование сразу - нельзя), полностью обновленный лицензионный 7 касперский пропустит или не пропустит этот вирус, если я снова вставлю флешку?
    2)у меня стоит еще один зараженный компьютер этим же вирусом.
    Можно ли использовать для него те же скрипты, что и тут? вроде бы там удаляются только файлы, которые заражены вирусом? или все таки создать отдельную тему для второго компьютера точно так же?

  19. #18
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    по в.2 Лучше создать новую тему. М.б. там еще что-то живет.
    Скрипт, который я давал, достаточно универсальный, но все-таки лучше "утром деньги, вечером стулья, но деньги вперед" (с) "Двенадцать стульев"
    Будут логи в новой теме - будем разбираться.
    Последний раз редактировалось PavelA; 17.07.2008 в 16:17.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #19
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1781
    1.Отключите автозапуск этим скриптом:

    Код:
    procedure DisableAutorun;
    begin
     // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
    end;
     
    begin
     DisableAutorun;
    end.
    Перезагрузитесь,подключите флешку(но не открывайте ее) и проверьте свежим антивирусом.

    2.Для второго компа отдельная тема.

  21. #20
    Junior Member Репутация
    Регистрация
    16.07.2008
    Сообщений
    10
    Вес репутации
    31
    Спасибо, с флешкой и вторым компьютером сделаю.

    Только что курит нашел вирус в 3х лог файлах в C:\Windos\System32
    с именами
    32610.log
    37782.log
    68657.log
    что это за файлы? я их переместил в карантин

  • Уважаемый(ая) Влад Мистецкий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 24.07.2011, 03:19
    2. Ответов: 2
      Последнее сообщение: 15.08.2010, 12:00
    3. Ответов: 4
      Последнее сообщение: 06.06.2010, 14:25
    4. Ответов: 2
      Последнее сообщение: 28.04.2010, 03:00
    5. Открываются китайские сайты
      От Александр Гольцов в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 23.08.2009, 12:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00756 seconds with 24 queries