Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Не запускаются полиморфные антивирусные утилиты, нет доступа к антивирусным сайтам и ресурсам автообновлений., . (заявка № 89554)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50

    Cool Не запускаются полиморфные антивирусные утилиты, нет доступа к антивирусным сайтам и ресурсам автообновлений., .

    Проблема полностью аналогична этой (лог Anvir Task Manager):
    Код:
    10/08 23:21:37	HiJackThis.cmd 1748 started by TOTALCMD.EXE KHARON\Nosferato	E:\avz4\HiJackThis.cmd	
    10/08 23:21:37	window created by HiJackThis.cmd	TrendMicro HijackThis	
    10/08 23:21:39	HiJackThis.cmd 1748 terminated, CPU 0:00 	E:\avz4\HiJackThis.cmd	
    10/08 23:21:39	avz.exe 4040 started by TOTALCMD.EXE KHARON\Nosferato	E:\avz4\avz.exe 	
    10/08 23:21:41	avz.exe 4040 terminated, CPU 0:00 	E:\avz4\avz.exe	
    10/08 23:21:43	mink.pif 2176 started by TOTALCMD.EXE KHARON\Nosferato	E:\avz4\mink.pif 	
    10/08 23:21:45	mink.pif 2176 terminated, CPU 0:00 	E:\avz4\mink.pif	
    10/08 23:22:17	startup.exe 2980 started by explorer.exe KHARON\Nosferato	E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\startup.exe	
    10/08 23:22:17	setup_9.0.0.722_08.10.2010_18-35.exe 2680 started by startup.exe KHARON\Nosferato	E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\setup_9.0.0.722_08.10.2010_18-35.exe -gui -bl	
    10/08 23:22:19	startup.exe 2980 terminated, CPU 0:00 	E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\startup.exe	
    10/08 23:22:19	setup_9.0.0.722_08.10.2010_18-35.exe 2680 terminated, CPU 0:00 	E:\avz4\Virus Removal Tool\setup_9.0.0.722_08.10.2010_18-35\setup_9.0.0.722_08.10.2010_18-35.exe
    Таким образом, выполнить условия запроса помощи не удаётся.

    Помимо этого нет доступа к сайтам антивирусного профиля и к сетевым ресурсам, запрашиваемым автообновлениями разнообразного ПО (Java, PCTools, Adobe etc.)

    ------
    После создания темы обнаружил ещё одну аналогичную от пользователя, чей ник встречал ранее на сайтах, посвящённых игре "Сталкер"; стал анализировать. Первые признаки заражения в моём случае проявились в середине сентября, когда мой отпрыск активно разламывал "Сталкер: Зов Припяти". Не исключаю, что заражение произошло после запуска каких-либо утилит (трейнеров, конвертеров, распаковщиков) для этой игры.
    Последний раз редактировалось CaHTeXHuK; 08.10.2010 в 21:52. Причина: Дополнено мыслями о возможном источнике

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Попробуйте сделать лог ComboFix

  4. #3
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Насколько безопасна "деструктивная" деятельность ComboFix, описанная в этом постинге?
    К сожалению в отличие от других подобных приложений в программе не предусмотрена возможность вмешательства пользователя в её работу.
    Это ведёт иногда к потере важных данных, ошибочно отнесённых программой к вредоносному ПО.
    Внимание: Перед операциями восстановления обязательно посоветуйтесь с Вашим хелпером!!!
    Дело в том, что на компьютере установлено очень много лицензионного ПО, необходимого для работы, оперативное восстановление части которого станет невозможно в случае утраты.
    Последний раз редактировалось CaHTeXHuK; 08.10.2010 в 22:05. Причина: Сохранил вместо предпросмотра

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Обычно всё восстанавливается. Никакой особо деструктивной деятельности не наблюдалось. Лицензионное ПО затронутся не должно, но - гарантии 100% конечно дать не могу.

  6. #5
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    М-да.
    ComboFix вычистила напрочь hosts (состоявший, к слову, из почти сотни строк) и снесла WinPCap. Если второе - не критично (переустановить - не проблема), то первое - очень плохо.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    По-моему программа делает карантин hosts файла...

    Пока вылечим ОС...

    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\program files\Common Files\jqyrg4inedzz13m
    c:\windows\system32\80074bb0.exe
    c:\windows\system32\isnvfo.exe
    c:\windows\system32\55af13d0.exe
    c:\windows\system32\ssofyj.exe
    
    
    Folder::
    c:\program files\Common Files\FF7C1FADa
    
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Собственно говоря, процедуру удаления кейлог-файла из Common Files и очистки Userinit из этого скрипта (плюс route -f и перезапуск адаптера для возможности писать сюда без включения "турбо" в Опере) я делаю вручную после каждой загрузки ещё до запуска броузера.
    Exe-файлов из скрипта (и параметра Userinit) в system32 нет вообще - как я их удалил вручную ещё до обращения сюда, так более они и не появлялись (видимо, они удаляются автоматически в процессе деятельности вируса ещё до загрузки GUI и explorer.exe или нужны только для первичного заражения ОС); директория FF-чего-то-там в Program Files содержит пустую поддиректорию keys и обычным путём не удаляется ("Папка keys используется другими программами"), при удалении её с помощью соответствующих утилит, после перезагрузки создаётся директория с аналогичным, но другим именем и тем же содержанием (так же, как и восстанавливается параметр Userinit в реестре).

    И ещё. Судя по тому, что при подключении флешки вновь стал появляться диалог "На носителе есть файлы, что будем с ними делать?"- автозапуск, отключенный давным-давно при помощи "решения проблем" в avz, - деятельность этого вируса не ограничивается кейлоггерством, изменением таблицы маршрутизации и перехватом запуска антивирусов и броузеров...
    (Хотя, кейлоггерство вроде как и не работает: директория FFxxxx и её поддиректория keys остаются пустыми, файл jqyrg4inedzz13m - нулевой длины.
    Не уверен.
    В самом начале разборок с системой обратил внимание, что процесс lsass постоянно ломился на relay4.discom.net.ru и закрыть это соединение система не позволяла; я зарулил этот адрес на 127.0.0.1 в hosts - lsass перестал ломиться в сеть вообще. Не исключаю, что это и была передача собранной информации.)

    Чуть позже выполню Вашу рекомендацию и выложу результаты - есть необходимость закончить свою работу.

    Что ж таймаут сессии здесь такой короткий? (:

  9. #8
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    В Common Files родилась новая директория FF7C1C55a; в процессе работы в старой FFxxxxx в keys создался лог ошибки апдейта Java (пока занимался своими делами, при загрузке одной из страниц в нете была безуспешная попытка апдейтить Java).

    Прилагаю лог ComboFix, создан после ручного удаления всех "излишеств" (в процессе работы ComboFix вылезла ошибка работы её модуля, сразу после этого в system32 объявился exe-файл с цифровым именем (есть в логе), Userinit в реестре - опять с "добавками", таблица маршрутизации не дополнилась, "лишних" соединений в сети не было, несмотря на девственно чистый hosts).

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\ssofyj.exe
    c:\windows\system32\55af13d0.exe
    c:\windows\system32\isnvfo.exe
    c:\windows\system32\80074bb0.exe
    c:\program files\Common Files\jqyrg4inedzz13m
    
    
    Folder::
    
    
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
    "Userinit"="c:\windows\system32\userinit.exe,"
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

  11. #10
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Ну, если настаиваете:

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от CaHTeXHuK Посмотреть сообщение
    Ну, если настаиваете
    Я - не настаиваю. Мне всё равно, не хотите не делайте.

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Эти инструкции были выполнены в точности так, как написал консультант?

  14. #13
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Да.
    Ну, почти да. ComboFix на Рабочий стол не переносил - сделал туда линк из E:/avz4.
    Это критично? (:

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Критично.

  16. #15
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Хорошо, минуту ждать.

  17. #16
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Мы можем ждать хоть неделю. Но Вы должны выполнить всё в соответствии с инструкцией, если хотите результат...

  18. #17
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Скопировал всё в c:\Documents and Settings\Nosferato\Рабочий стол\, перезагрузил, надвинул иконку CFScript на иконку ComboFix.
    После перезагрузки привычным движением грохнул файл в Common Files, вынес Userinit в реестре, cmd.exe-route print-route -f, пишу вам.

    ComboFix на этот раз учуял страшную угрозу от скринсейверов пятилетней давности и беспощадно их кастрировал.

    А, да. На этот раз PEV.cfxe ошибок не выдал. Что-то изменилось от того, что я позволил обновить консоль восстановления...
    Последний раз редактировалось CaHTeXHuK; 09.10.2010 в 23:25.

  19. #18
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Сделайте лог MBAM

  20. #19
    Junior Member Репутация
    Регистрация
    08.10.2010
    Сообщений
    13
    Вес репутации
    50
    Принимайте.

    В процессе работы MBAM в system32 родился ЕХЕ-фал с цифровым именем, Userinit этим файлом дополнился.

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Возьмите этот файл, запакуйте в ZIP с паролем virus и пришлите нам. (красная ссылка прислать запрошенный карантин вверху темы)

  • Уважаемый(ая) CaHTeXHuK, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Нет доступа к антивирусным сайтам
      От SergBT в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.04.2011, 22:51
    2. Нет доступа к антивирусным сайтам! 2
      От hobit в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.11.2010, 22:10
    3. Ответов: 14
      Последнее сообщение: 14.09.2010, 07:19
    4. Нет доступа к антивирусным сайтам
      От vinlast в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 30.07.2010, 14:46
    5. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00730 seconds with 19 queries