-
Junior Member
- Вес репутации
- 50
Не открывается ряд сайтов, перезагружается система.
Здравствуйте.
Уже давно (мес.6), как перестали открываться некоторые сайты. Я много раз проверял комп антивирусами Avira (установлен в системе) AVPTool и Cure IT качал каждый раз из инета. Cure IT качать приходилось через Tor Browser так как её сайт у меня не открывался. Антивирусы либо ничего не находили, либо находили всякую мелочь после удаления которой ничего не менялось. Я решил, что сайты не открываются из-за провайдера. Сейчас поспрашивал, оказалось, что я был не прав - у других всё открывается.
Но вчера перестала открываться и моя любимая почта gmail и это было последней каплей. Я решил почитать на http://virusinfo.info/, что это за такое может быть, оказалось, что он тоже не открывается.
Зашёл через Tor Browser , прочитал инструкцию, всё выполнил. Проверил комп ещё раз в безопасном режиме с максимальными настройками AVPTool, Cure IT, Avira, Spybot - Search & Destroy. Чего-то они нашли, проблема не ушла. Воспользовался в дополнение программами WinsockxpFix и LSPFix.
В LSPFix кроме mswsock.dll, winrnr.dll и rsvpsp.dll была ещё четвёртая строчка, забыл название. Я её удалил. Сайты не заработали.
По вашей инструкции собрал логи (AVZ пришлось даже через прокси обновлять, так как она висла наглухо на обновлении если обращалась к сайтам обновления напрямую) и прекрепляю их все к сообщению. Кроме virusinfo_cure.zip так как в инструкции написано, что его не нужно прикреплять.
Помогите пожалуйста избавиться от этой гадости. 15 лет за компом ни разу такой гадости не встречал. Окупировала всю систему наглухо.
Последний раз редактировалось ABK; 17.09.2010 в 16:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\9e905af4.exe,\\?\globalroot\systemroot\system32\EVXbUw9.exe,
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\9e905af4.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\EVXbUw9.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\EVXbUw9.exe');
DeleteFile('C:\WINDOWS\system32\9e905af4.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 50
quarantine.zip отправил
Результат загрузки
Файл сохранён как 100917_123440_quarantine_4c932820ac6c5.zip
Размер файла 1179
MD5 f3c68b1d8f7bf339dc485dfabba02490
Файл закачан, спасибо!
Новые логи в приложениях. Кроме virusinfo_cure.zip так как в инструкции написано, что его не нужно прикреплять.
Последний раз редактировалось ABK; 17.09.2010 в 16:26.
-
-
-
Junior Member
- Вес репутации
- 50
Извините, что сразу не ответил. Сносил Avira устанавливал и обновлял KIS 2011 пробную версию.
СПАСИБО ВАМ ОГРОМНОЕ
Проблема ушла. Сайты стали грузится. Система стала рабоать немного быстрее. Что же это такое было?
Ещё такое дело.
Я все эти пол года активно переносил информацию флешкой между этим компом рабочим (заражёным) и 2-мя другими. Они тоже странно стали себя вести уже пару месяцев, притормаживают на ровном месте иногда при перезагрузке система грузится по 5-10 минут, вместо 30 сек. Скорость интернета падает с 10-15 мегабит, до 0.1 не с того не с сего. Потом восстанавливается.
Наверное они тоже заражены? Как их проверить?
А ещё у меня на флешке 2 зашифрованых TrueCrypt раздела. Я когда проверяю комп антивирусными LiveCD и из безопасного режима они бывают недоступны т.к. TrueCrypt грузится только в обычном режиме.
Сейчас из-за того, что пароль от virusinfo.info у меня в TorBrowser сохранён, стал его запускать и KIS 2011 ругнулся на него, что поведение похожее на root shell , но пропустил не стал блокировать.
Это всё не из-за TorBrowser было?
-
Сообщение от
ABK
Что же это такое было?
Определённо были вирусы, какие именно установить не удалось, так как они, видите ли, не пожелали идти в карантин.
Сообщение от
ABK
Наверное они тоже заражены? Как их проверить?
Создав для каждого отдельную тему в этом разделе.
-
-
Junior Member
- Вес репутации
- 50
Т.е. этот гад до сих пор разгуливает по моему компьютеру?
Что же это за мутанты такие, что их за пол года ни один антивирус не нашёл. Я этот комп и программой AVZ с последними обновлениями на максимальных настройках проверял раз 5 за пол года. Ничего не нашлось. А всё больше и больше сайтов блокировалось. Потом уже даже и самой AVZ обновления заблокировались.
А они и пароли наверное мои все поворовал? Их теперь менять нужно?
И что делать с флешкой?
-
Нет, никто уже не разгуливает - они были убиты.
Пароли сменить не помешает, в качестве меры предосторожности.
А что делать с флешкой, в зашифрованную информацию мы заглянуть не сможем.
-
-
Junior Member
- Вес репутации
- 50
Я когда все эти логи делал:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
я эти зашифрованные диски открывал и к системе монтировал.
Их AVZ и hijackthis тоже просканировали значит?
Добавлено через 36 секунд
Я так все логи делал которые Вам высылал.
Последний раз редактировалось ABK; 17.09.2010 в 13:48.
Причина: Добавлено
-
А у Вас есть подозрение, что что-то затаилось на флешке?
-
-
Junior Member
- Вес репутации
- 50
Я теперь уже ни в чём не уверен после того, как узнал, что есть мастодонты, которые по пол года ни одним антивирусом не определяются.
А видимых симптомов заражения вроде нет.
-
Сделайте на всякий случай лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 50
Как обидно. Судя по логу, кто-то за мной ещё и следил ?
Я имею ввиду файлик keylog.txt
Можно ли как нибудь определить, что за программа его создала?
Как вычислить следильщика?
Последний раз редактировалось ABK; 17.09.2010 в 16:29.
-
Уже никого нет - это остатки, зачистим -
Удалите всё, что нашёл МВАМ
-
-
Junior Member
- Вес репутации
- 50
Спасибо большое. Сделаю.
Но я правильно понял что кто-то за мной ещё и следил ?
Я имею ввиду файлик keylog.txt
В нём лог некоторых моих действий с 28 апр. по 5 мая, всего штук 15, хотя я за пол часа больше делаю.
Последняя запись такая:
***************************Google - Windows Internet Explorer (13:25:33-05:May:2010) ***************************
free dr web[ENT]
***************************free dr web - Поиск в Google - Windows Internet Explorer (13:25:40-05:May:2010) ***************************
drweb.com
***************************Новая вкладка - Windows Internet Explorer (13:26:39-05:May:2010) ***************************
[ENT]
может я его потом доктором вебом замочил ? )))
А ещё у меня в c:\ дежит файлик pw.txt размером 2 гигабайта и блокнотом не открывается. Пишет слишком большой.
Можно его стереть?
Как в будущем уберечься от таких ситуаций? Чем проверяться?
P.S. А можно уже логи приложенные к моим сообщениям стареть, а то я посмотрел, там содержится некоторая личная информация.
-
Сообщение от
ABK
Как в будущем уберечься от таких ситуаций? Чем проверяться?
http://virusinfo.info/showthread.php?t=30339
Сообщение от
ABK
P.S. А можно уже логи приложенные к моим сообщениям стареть, а то я посмотрел, там содержится некоторая личная информация.
Можно
-
-
Это очень общее название, что-либо конкретно про него не могу ни сказать, ни найти.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-