Фильтры-блокировки на virusinfo и сайты антивирусов

[Oleg555]

Доброго времени суток! Имею следующую проблему. После последнего обновления Нортона (07-07-2010) решил просканить комп, но тщетно поскольку после каждого подтверждения на начало скана появляется сообщение "Norton AntVirus was unable to scan your computer for infections because a critical error occured during the scan (3019,1)". После решил проверить уже CureIt'oм (были реальные подозрения на зараженность, проявляющиеся в виде немного тугодумия действий компа и скачкообразной загрузки страниц в интернете, частого появления синего экрана, отсутствия соединения с контактом и иногда даже полного отказа запускать exe-файлы) - картина выглядела так: 1 подозрительный процесс, на С:/ имелось 18 различных троянов и 8 подозрительных, и на D: 4 вируса при 1 подозрительном. Так каждый раз чистишь-чистишь, вроде всё удаляет-перемещает, а они всё равно откуда-то берутся..но сейчас их явно уже меньше (обычно по 2 вируса находит за 1 проверку). Всё бы хорошо, но я хотел бы проверить логи хиджэкзис и АВЗ..но не могу зайти в раздел "правила" (непомню как в АВЗ логи делать) потому что virusinfo . info и множество сайтов антивирусов попросту не открываются - явно блокируются каким-то фильтром, оставленным после троянов..а на страницу для создания темы я вообще чудом зашел (вместо адреса через IP). Помогите пожалуста справится с проблемой - как можно разблокировать эти сайты?
PS. с Hosts проблем нет вроде - чистил его уже раз 100. vkontakte . ru заработало, а avira . com, virusinfo . info, drweb . com и т.д. нет.

[Rene-gad]

Скачайте правила: http://virusinfo.info/soft/rules.zip

[Oleg555]

Я немогу зайти на эту страничку с правилами лаже через IP ("404 Not Found
The server can not find the requested page:
http://216.246.91.178/soft/rules.zip (port 80)
Please forward this error screen to 216.246.91.178's WebMaster.").
Если заходить через ссылку с адресом то вообще и не думает загружать.
Я уже описывал, что сайты-помощники против вирусов у меня не загружаются. Я ели-ели сумел зайти и создать здесь тему (заходил с помощью IP 216.246.91.17 - теперь на этом сайте я могу только создавать темы, переходить на главную и смотреть другие темы.

[pig]

http://216.246.91.178/~virusinf/soft/rules.zip

[Oleg555]

pig, спасибо - эта ссылка подлинна!

[Oleg555]

Логи

[Rene-gad]

Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

- Обновите базы АВЗ: (Файл/Обновление баз). Скачайте файл тут и распакуйте его в папку ..avz\base.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Пофиксите:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [Services] c:\windows\system32\system.exe
O4 - HKLM\..\Run: [deri] C:\WINDOWS\system32\fyttaquy.exe
O4 - HKLM\..\Run: [AutoStart] C:\DOCUME~1\User\LOCALS~1\Temp\291218.exe
O4 - HKCU\..\Run: [Cxutu] rundll32.exe "C:\WINDOWS\kbvtas.dll",Startup
O4 - HKCU\..\Run: [MSConfig] C:\Documents and Settings\User\seqsp.exe \u
O4 - HKCU\..\Run: [Services] C:\windows\system32\system.exe
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\fyttaquy.exe');
 TerminateProcessByName('c:\docume~1\user\locals~1\temp\3969284.exe');
 StopService('eeufrvoo');
 StopService('cbxzcoqm');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AutoStart');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Cxutu');
 QuarantineFile('F:\autorun.inf','');
 QuarantineFile('F:\autorun.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('E:\autorun.exe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('D:\autorun.exe','');
 QuarantineFile('C:\WINDOWS\system32\system.exe','');
 QuarantineFile('c:\windows\system32\sshnas21.dll','');
 QuarantineFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\7.tmp','');
 QuarantineFile('c:\windows\system32\fyttaquy.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\srv.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\cbxzcoqm.sys','');
 QuarantineFile('C:\WINDOWS\kbvtas.dll','');
 QuarantineFile('c:\windows\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA','');
 QuarantineFile('C:\Documents and Settings\User\seqsp.exe','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\iptyr.exe,explorer.exe,C:\Documents and Settings\User\Application Data\yftza.exe','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\iptyr.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\svchost.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Phz.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\Pg1.exe','');
 QuarantineFile('c:\docume~1\user\locals~1\temp\3969284.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\291218.exe','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\autorun.exe','');
 DeleteService('eeufrvoo');
 DeleteService('cbxzcoqm');
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\autorun.exe');
 DeleteFile('E:\autorun.inf');
 DeleteFile('E:\autorun.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\autorun.exe');
 DeleteFile('C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job');
 DeleteFile('C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
 DeleteFile('C:\WINDOWS\system32\system.exe');
 DeleteFile('c:\windows\system32\sshnas21.dll');
 DeleteFile('C:\WINDOWS\System32\spool\PRTPROCS\W32X86\7.tmp');
 DeleteFile('C:\WINDOWS\system32\kogoo.exe');
 DeleteFile('c:\windows\system32\fyttaquy.exe');
 DeleteFile('C:\WINDOWS\system32\Drivers\cbxzcoqm.sys');
 DeleteFile('C:\WINDOWS\kbvtas.dll');
 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA');
 DeleteFile('c:\windows\explorer.exe:userini.exe:$DATA');
 DeleteFile('C:\Documents and Settings\User\seqsp.exe');
 DeleteFile('C:\Documents and Settings\User\Application Data\iptyr.exe,explorer.exe,C:\Documents and Settings\User\Application Data\yftza.exe');
 DeleteFile('C:\Documents and Settings\User\Application Data\iptyr.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\svchost.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Phz.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\Pg1.exe');
 DeleteFile('c:\docume~1\user\locals~1\temp\3969284.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\291218.exe');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\autorun.exe');
 BC_DeleteSvc('eeufrvoo');
 BC_DeleteSvc('cbxzcoqm');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.

После перезагрузки:
- Закачайте файл ..\avz\quarantine.zip для анализа.
- Очистите темп-папки, кэш проводников, cookies и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Oleg555]

Попробовал обновить базы (Файл-Обновление баз) - появляется сообщение "Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с http://www.z-oleg.com/secur/avz_up/[21,00002EE2]".
Ссылка "тут" тоже не помогла - браузер ее совсем не хочет загружать.
Далее всё, что нужно было отключил, пофиксил, выполнил скрипт. После перезагрузки появилось сообщение о 2 подключенных новых оборудованиях (через диспетчер их удалил) и о обновлении компонентов виндовса. Выбрал "Обновить только в этот раз" (интернет то всё равно отключён) - появлялся синий экран с белым шрифтом, просящий на английском экстренной перезагрузки.
Выбрал после следующей перезагрузки "Не обновлять" - наверно надо было это сразу выбирать.
Но как писалось "- Закачайте файл ..\avz\quarantine.zip для анализа.
- Очистите темп-папки, кэш проводников, cookies и корзину." - ни первое, ни второе я не выполнил, поскольку ссылка для анализа карантина и ссылка "Очистите темп-папки" не работает у меня по прежнему (браузер не думает ее загружать, хотя отдельно окошко выделяет - в результате только белый экран). Хотелось бы узнать, что за темп-папки это. Незнаю, поможет или нет, но в конце прилагаю свои новые логи:

[AndreyKa]

Но как писалось "- Закачайте файл ..\avz\quarantine.zip для анализа.

И где карантин?
попробуйте сюда закачать - http://216.246.91.178/~virusinf/uplo....php?tid=82872

[Oleg555]

Надеюсь, я сделал правильно карантин..отправил его по ссылке http://216.246.91.178/~virusinf/uplo....php?tid=82872 - долго отправляло те 108 мб архива, но вроде всё же загрузило. Проверьте пожалуста!

[AndreyKa]

Такого размера файлы не могут быть загружены через наш форум.
Карантин должен был быть в несколько раз меньше.

[Oleg555]

Файл с карантином - это файл virus.zip (описано в приложениях 2-3 в правилах)? Или это файл virusinfo_cure.zip (нашел на каком-то форуме, что этот файл нужно отправлять как карантин)?
Я же отправлял virus.zip (если всё выделить галочками в карантине для заархивирования, то этот файл у меня набирает аж 108 мб).
Попробую выложить файл virusinfo_cure.zip, как запрашиваемый карантин. Посмотрите пожалуста, буду благодарен.

[pig]

как писалось "- Закачайте файл ..\avz\quarantine.zip для анализа.

Вот его.

[Oleg555]

Прошу прощения за то, что выходит я не тот файл поместил как карантин.
А как создать этот карантин? у меня остался в этой папке AVZ карантин, который был создан намного раньше, чем делались проверки. И из-за этого он пустой (4 кб весит).

[pig]

Этот файл должен был создаться скриптом.

[polword]

Скачайте отсюда AVZ - 4.34, распакуйте его. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.

[Oleg555]

pig`у
Карантин ..\avz\quarantine.zip передал в "Прислать запрошенный карантин". Ели сообразил, как его снова составить. Просмотрите пожалуста.

[Oleg555]

как просил polword, установил версию 4.34 и прилагаю логи от него:

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление


Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\system.exe');
 TerminateProcessByName('C:\WINDOWS\system32\System.exe');
 TerminateProcessByName('c:\windows\system32\kipufazug.exe');  
 QuarantineFile('C:\WINDOWS\system32\fyttaquy.exe','');
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\3743911.exe','');
 QuarantineFile('C:\WINDOWS\system32\System.exe','');
 QuarantineFile('c:\windows\system32\system.exe','');
 QuarantineFile('c:\windows\system32\kipufazug.exe','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\yftza.exe','');
 QuarantineFile('C:\WINDOWS\system32\system.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\yftza.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\3743911.exe');
 DelAutorunByFileName('C:\Documents and Settings\User\Application Data\yftza.exe');   
 DelAutorunByFileName('C:\DOCUME~1\User\LOCALS~1\Temp\3743911.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ClearHostsFile;  
 ExecuteRepair(11);    
 ExecuteRepair(20);       
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

[Oleg555]

Всё сделал, как указывалось в предыдущем сообщении. Карантин выслан.