Показано с 1 по 17 из 17.

Трояны - ошибка Exproler exe и невозможность зайти на сайты антивирусов (заявка № 84164)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52

    Thumbs up Трояны - ошибка Exproler exe и невозможность зайти на сайты антивирусов

    И снова здраствуйте
    Наконец то смог зайти сюда, все антивирусные сайты были перекрыты и Вирусинфо в том числе.

    Но начну с начала.

    Вчера установил антивирус DrWeb 6.0, частично проверил им.
    Оставил компьютер на ночь, тк шла закачка с торрента, утром при заоде в браузер словил синий экран смерти, перезагрузил, затем снова синий экран, синие экраны сыпались одни за другим, в основном c ошибкой irql not less or equal.

    Ничегоот них не помогало, после включения компа после перезагрузки появилась ошибка Explorer exe, нажимал значки с рабочего стола пропадали пропадали, затем снова появлялись(видимо эксплорер перезагружался).

    Решил удалить доктора Веба, синий экраны прекратились, ошибка Эксплорера в начале работы осталась.

    погуглил и вычитал, что такое возможно от вирусов, скачал DrWeb CurеIt, запустил, она успевала найти и уничтожить 1 троян, затем прямо во время проверки синий экран, при повторном запуске проверка доходила до середины и снова "синий экран".

    Решил создать тему тут и обнаружил, что сайт не загружается.
    Так же, как и сайты Касперского, Доктора Веба и остальных антивирусов.
    Проверил свежим Avz - ничего не нашел, но в проблемах системы он находил "путь к антивирусным сайтам", исправил эту проблему - не зашло все равно.

    проверил файл host - чисто.
    погуглил. нашел много информаии, касающегося моего случая - троян модифицировал реестр по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes, там будут ай-пи адреса антивирусных сайтов.

    захожу туда и точно - огромный список ай-пи адресов.

    удаляю их все, так же нахожу такой же список ай-пи по адресу HKEY_LOCAL_MACHINE\SYSTEM\ControlSet10\Services\Tc pip\Parameters\PersistentRoutes , удаляю все, что там есть.

    перезагружаю - все равно не работает, а ай-пи адреса в реестре воскресли вновь на своих старых местах, будто бы и не удалял.
    удалил их снова - перезагрузил - вернулись на места снова.

    погуглил дальше - скачал Malwarebytes Anti-Malvare, запустил проверку - нашел 202 трояна(в основном находил эти ай-пи в реестре) - удалил все найденное. перезагрузил, ошибка эксплорер exe исчезла, но грохнуть вирус не удалось, ip из реестра и не думали исчезать.

    отчаялся, скачал Комбофикс, скачать к нему рековери консоль не дал сайт мелкософта, глючил сильно, наверно из-за вируса.

    Включил комбофикс, он нашел и уничтожил несколько обьектов.
    Перезагрузилось - проверяю реестр и все ай пи из обоих мест исчезли.
    Делаю route - f, исправляю подключение по локальной сети, врубаю интернет - ввожу адрес и наконец захожу сюда.

    Все сайты снова работают, похоже на излечение.

    Но небезъосновательно подозреваю на остатки троянов - при печатании этого текста, мой браузер Опера повис, пришлось перезагружать комп, захожу сюда и вижу снова что видел, сайты вновь выдают ошибку, ай-пи вновь сидят по старому адресу.
    проблема еще не решена...
    Делаю route-f в меню "выполнить", снова исправляю подключение по локальной сети, и все зашло снова, сразу скопировал предварительно сохраненный текст сообщения этого.

    Выкладываю сделанные в 6 часов логи АВЗ(тогда еще не знал о проблемах с доступом на антивирусные сайты, делал их под ошибку Эксплорера, ДО операций с реестром и комбофиксом)
    и выкладываю на всякий случай лог Комбофикса после лечения им.

    заранее спасибо за избавление от этой гадости)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - virusinfo_cure.zip - удалите из темы
    - нужен лог virusinfo_syscure.zip

    Добавлено через 3 минуты

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ в безопасном режиме
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
     QuarantineFile('C:\Documents and Settings\Admin\Google\googletoolbar1.dll','');
     QuarantineFile('C:\WINDOWS\system32\sidebar32.exe','');
     QuarantineFile('C:\WINDOWS\system32\pkeaio.exe','');
     QuarantineFile('C:\WINDOWS\system32\a13ff021.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe','');
     QuarantineFile('C:\WINDOWS\system32\sol.exe','');
     QuarantineFile('C:\thumbs.db','');
     DeleteFile('C:\thumbs.db');
     DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\monoca32.exe');
     DeleteFile('C:\WINDOWS\system32\a13ff021.exe');
     DeleteFile('C:\WINDOWS\system32\pkeaio.exe');
     DeleteFile('C:\WINDOWS\system32\sidebar32.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Secure Star');
     BC_ImportAll;
     ExecuteSysClean;
      ExecuteRepair(20);
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

    - Замените файл c:\windows\system32\midimap.dll на чистый из дистрибутива.

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\b0ef52a4.exe
    
    Driver::
    
    NetSvc::
    qxawsemb
    
    Folder::
    
    Registry::
    
    FileLook::
    
    DirLook::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



    - Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

    - Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_sysch eck.zip; hijackthis.log)
    Последний раз редактировалось polword; 30.07.2010 в 01:23. Причина: Добавлено

  4. #3
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52

    Исправил)

    лог комбофикса

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    не делайте ничего пока Вас не попросят.

    скрипт выполните и пришлите новые логи

  6. #5
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52
    Сделал все, кроме замены файла dll, недопонял в той теме, что мне нужно делать.

    карантин прислал.

    Файл CFScript был "сьеден" комбофиксом, наверно так и должно быть?

    hijackthis снова не желает работать на моей компьютере.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    - Нужно заменить файл c:\windows\system32\midimap.dll на чистый из дистрибутива.
    прочитайте еще раз внимательно и замените, т.к. этот файл
    c:\windows\system32\midimap.dll . . . is infected!!
    после замены выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     DelBHO('{AA58ED58-01DD-4D91-8333-CF10577473F7}');
     QuarantineFile('C:\WINDOWS\System32\drivers\donbom.sys','');
     QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\mbr.sys','');
     DeleteFile('C:\Documents and Settings\Admin\Google\googletoolbar1.dll');
     DeleteFile('C:\thumbs.db');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

  8. #7
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52
    Готово

    кроме hijackthis.log

  9. #8
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52
    Все?

    или еще осталось?

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Выполните скрипт
    Код:
    begin
    DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\14161129.exe','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Закачайте карантин.
    Сделайте лог HijackThis

  11. #10
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52
    Выполнил скрипт

    а карантин остался старый, что уже присылал, изменен в 14 часов 17 минут.
    наверно не было скрипта, который заставляет АВЗ делать карантин.

    скачал новый HijackThis, он работал, сделал лог

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\14161129.exe
    Перезагрузите ПК, сделайте новый лог HijackThis

  13. #12
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52
    Сделанно

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    38
    Вес репутации
    52
    не беспокоит уже с первого скрипта в AVZ

    спасибо

    И боюсь, что до встречи)))

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.04.2008
    Сообщений
    5,972
    Вес репутации
    424
    Цитата Сообщение от EMZ1T Посмотреть сообщение
    И боюсь, что до встречи)))
    Мы Вам всегда рады, но старайтесь, чтобы не в "Помогите" поэтому, прочтите эти рекомендации--http://virusinfo.info/showthread.php?t=30339

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\a13ff021.exe - Backdoor.Win32.Shiz.od ( DrWEB: BackDoor.Siggen.25690, BitDefender: Gen:Trojan.Heur.FU.cq0@ai36ZEdi, AVAST4: Win32:Malware-gen )
      2. c:\windows\system32\pkeaio.exe - Backdoor.Win32.Shiz.oc ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.15, AVAST4: Win32:MalOb-BW [Cryp] )
      3. c:\windows\system32\sidebar32.exe - Trojan-Spy.Win32.BZub.iad ( DrWEB: Trojan.PWS.Ibank.77, BitDefender: Gen:Trojan.Heur.RP.gmW@aq84WXn )

    Рекомендации:
    1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !


  • Уважаемый(ая) EMZ1T, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу зайти сайты антивирусов.
      От FeDuLL в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.10.2011, 18:30
    2. не удается зайти на сайты антивирусов
      От warda в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 28.06.2010, 14:17
    3. Не зайти на офф-сайты антивирусов
      От PotodeevS в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 01.06.2010, 02:06
    4. Ни могу зайти на сайты антивирусов
      От mr.Nord в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.05.2010, 07:10
    5. не могу зайти на сайты антивирусов...
      От sedow в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 10.02.2010, 11:34

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01647 seconds with 19 queries