-
Junior Member
- Вес репутации
- 51
Блокировка антивирусных сайтов
Здравствуйте! Все началось с того, что браузер перестал отображать изображения - вначале на сайтах художественных галерей, а затем и гугл-поиске. Просто серые квадраты стал показывать. Прошелся антивирусом (Др-Веб) - ничего. Для проверки решить зайти на сайт др-веба - а зайти-то и не могу, не загружается сайт. Вирусинфо тоже не доступен, даже по ай-пи - пишу с другого компьютера. Помогите разъяснить ситуацию.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\c29d1d1.exe','');
QuarantineFile('C:\WINDOWS\system32\mauwbu.exe','');
QuarantineFile('C:\WINDOWS\system32\vccady.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\6ekyrkj.exe','');
QuarantineFile('c:\windows\system32\92360adb.exe','');
QuarantineFile('c:\windows\system32\f1b0aaed.exe','');
QuarantineFile('c:\windows\system32\ihxksg.exe','');
DeleteFile('c:\windows\system32\ihxksg.exe');
DeleteFile('c:\windows\system32\f1b0aaed.exe');
DeleteFile('c:\windows\system32\92360adb.exe');
DeleteFile('\\?\globalroot\systemroot\system32\6ekyrkj.exe');
DeleteFile('C:\WINDOWS\system32\vccady.exe');
DeleteFile('C:\WINDOWS\system32\mauwbu.exe');
DeleteFile('C:\WINDOWS\system32\c29d1d1.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(20);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
Сайты стали доступны, изображения показываются. Спасибо!
Карантин и новые логи прилагаю
-
Кроме ИЕ, какие ещё браузеры установлены на компьютере?
-
-
Junior Member
- Вес репутации
- 51
Кроме ИЕ еще установлен Фаерфокс
Простите за задержку с ответом, но оказалось что я рано радовался
Вирус снова ожил, и на этот раз он блокирует не только антивирусные сайты, но и авз и хиджак я запустить не могу, чтобы логи выслать - они запускаются и сразу же схлопываются(даже полиморфный авз) . То же самое произошло с функцией "Выполнить" в Пуске.
В общем, беда во все края.
-
-
-
Junior Member
- Вес репутации
- 51
После того, как Комбофикс поработал, функция Выполнить в Пуске разблокировалась, остальное(авз, хиджак, сайты) заблокировано по-прежнему. Лог прилагаю.
-
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\windows\system32\pggtnp.exe
Folder::
c:\program files\Common Files\C32EE85a
c:\program files\Common Files\c32ea76
c:\program files\Common Files\c32ea9f
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\System32\userinit.exe,"
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 51
Выполнил скрипт, авз и хиджак разблокировались, сайты тоже. Посылаю логи комбофикса, авз и хиджака.
Да, после перезагрузки антивирус (др-веб) пару раз ругнулся на batch-вирусы, лезущие из System Volume Information.
-
Файл c:\windows\System32\sfcfiles.dll восстановите с дистрибутива.
-
-
Junior Member
- Вес репутации
- 51
Восстановил. Пока все работает нормально. Нужны новые логи?
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения вредоносные программы в карантинах не обнаружены
-