Не открываются сайты антивирусов. Нет обновлений

**yobot** · 11.09.2010, 15:46

Вот еще один подозрительный компьютер.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 11.09.2010, 15:50

Где третий лог?

**polword** · 11.09.2010, 18:49

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); 
 QuarantineFile('C:\WINDOWS\system32\wlinject.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys','');
 QuarantineFile('C:\WINDOWS\system32\kkkdat.exe','');
 QuarantineFile('C:\WINDOWS\system32\2648a35e.exe','');
 DeleteFile('C:\WINDOWS\system32\2648a35e.exe');
 DeleteFile('C:\WINDOWS\system32\kkkdat.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

**yobot** · 13.09.2010, 12:28

Есть вопрос по поводу одной строки в скрипте. А именно этой:
QuarantineFile('C:\WINDOWS\system32\wlinject.exe', '');

wlinject.exe - это служба обеспечения работы клиента VipNET от Инфотекса http://www.infotecs.ru/
Всё равно пускать скрипт? Или сначала добавить его в базу безопасных файлов?

**polword** · 13.09.2010, 14:48

скрипт файл только закарантинит и все... запустите скрипт

**yobot** · 14.09.2010, 23:30

Попытался выполнить скрипт.
На этой строке:
QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb .sys','');
AVZ сообщил об ошибке "Ошибка карантина. Прямое чтение из файла"
А вот на этой строке:
DeleteFile('C:\WINDOWS\system32\2648a35e.exe');
Компьютер "завис".

**thyrex** · 15.09.2010, 01:18

Делайте новые логи

**yobot** · 22.09.2010, 09:29

Новые логи.

**polword** · 22.09.2010, 10:44

Сообщение от polword

- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

вот этот лог еще

**yobot** · 24.09.2010, 16:12

Логи RSIT

**thyrex** · 26.09.2010, 00:53

Выполните скрит в AVZ

Код:

begin
QuarantineFileF('c:\windows\system32', '*.exe,adv*.tmp', false,'', 0, 0, '27.07.2010', '14.09.2010');
end.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте лог ComboFix

**yobot** · 27.09.2010, 16:44

Лог Combofix.
Карантин выслал.

**thyrex** · 29.09.2010, 01:51

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\fed80705.exe
c:\windows\system32\775bb1f4.exe
c:\windows\system32\fjcxsd.exe
c:\windows\system32\qobjpt.exe
c:\windows\system32\adv1B.tmp
c:\windows\system32\adv1A.tmp
c:\windows\system32\adv19.tmp
c:\windows\system32\adv18.tmp
c:\windows\system32\adv17.tmp
c:\windows\system32\adv16.tmp
c:\windows\system32\adv15.tmp
c:\windows\system32\adv14.tmp
c:\windows\system32\fpougx.exe
c:\windows\system32\adv13.tmp
c:\windows\system32\adv12.tmp
c:\windows\system32\wrymcm.exe
c:\windows\system32\adv11.tmp
c:\windows\system32\rxyfgx.exe
c:\windows\system32\adv10.tmp
c:\windows\system32\sngwcd.exe
c:\windows\system32\advF.tmp
c:\windows\system32\advE.tmp
c:\windows\system32\dxyrji.exe
c:\windows\system32\advD.tmp
c:\windows\system32\advC.tmp
c:\windows\system32\kkkdat.exe

Driver::

Folder::
c:\program files\Common Files\pkr

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**yobot** · 03.10.2010, 11:25

При выполнении скрипта CFScript лог не был создан, потому что ОС выпала в "синий экран смерти" (сокращенный текст ошибки: A Process or Thread cruical to system operation has unexpectedly exited or terminated STOP: 0x000000F4 (0x00000003, 0x85F12DA0, 0x85F12F14, 0x8060577E))
Однако после перезагрузки антивирус начал обновляться.
Надо делать новые логи AVZ, HijackThis, RSIT?

**Никита Соловьев** · 03.10.2010, 13:32

Сообщение от yobot

Надо делать новые логи AVZ, HijackThis, RSIT?

Делайте

**yobot** · 13.10.2010, 13:15

Новые логи.

**Никита Соловьев** · 13.10.2010, 21:11

Выполните скрипт в AVZ:

Код:

begin
 BC_QrFile('C:\WINDOWS\system32\itcadvapi.dll');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил...

**yobot** · 26.10.2010, 13:23

Карантин отправлен.

**CyberHelper** · 27.10.2010, 13:23

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 30
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\dxyrji.exe - Backdoor.Win32.Shiz.rs ( DrWEB: Trojan.Packed.20771, BitDefender: Trojan.Dropper.TON, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Morphex [Cryp] )
2. c:\\windows\\system32\\fed80705.exe - Backdoor.Win32.Shiz.wz ( DrWEB: BackDoor.Siggen.26284, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
3. c:\\windows\\system32\\fjcxsd.exe - Backdoor.Win32.Shiz.vn ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
4. c:\\windows\\system32\\fpougx.exe - Backdoor.Win32.Shiz.us ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
5. c:\\windows\\system32\\kkkdat.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Zbot.20, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-BW [Cryp] )
6. c:\\windows\\system32\\qobjpt.exe - Backdoor.Win32.Shiz.uw ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
7. c:\\windows\\system32\\rxyfgx.exe - Backdoor.Win32.Shiz.uj ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
8. c:\\windows\\system32\\sngwcd.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Rootkit.38987, AVAST4: Win32:MalOb-DS [Cryp] )
9. c:\\windows\\system32\\wrymcm.exe - Backdoor.Win32.Shiz.uk ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:MalOb-DS [Cryp] )
10. c:\\windows\\system32\\775bb1f4.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )