Заблокированы антивирусные сайты

Printable View

25.05.2011, 23:25
Katrin

Заблокированы антивирусные сайты

Мои действия:
Пролечила комп антивирусом Dr.Web CureIt и были уничтожены несколько троянов (к сожалению, не могу сказать точнее) Trojan.Download, Trojan.Siggen.
Проблема в том, что комп тормозит и блокирует все антивирусные сайты.
25.05.2011, 23:26
Info_bot

Уважаемый(ая) [B]Katrin[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/donate/"]поддержите проект[/URL].
25.05.2011, 23:35
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\WINDOWS\system32\win32sta.dll','');
QuarantineFile('C:\Documents and Settings\1\Application Data\Xkkukr.exe','');
DeleteFile('C:\Documents and Settings\1\Application Data\Xkkukr.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xkkukr');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zlkukt');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
25.05.2011, 23:58
Katrin

Спасибо! Скрипт выполнен без ошибок. Карантин отправила. Сейчас сделаю новые логи. MBAM не могу скачать.
26.05.2011, 00:14
thyrex

Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\win32sta.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.[/CODE]

После перезагрузки новые логи + пробуйте скачивать МВАМ
26.05.2011, 00:33
Katrin

выполнила скрипт, теперь почему-то отказывается открывать оперу и вообще какие-либо архивы. Пишет: отказано в доступе, возможно нет прав. Открываю IE через AVZ. Сайты по-прежнему заблокированы.Делаю логи.
26.05.2011, 03:11
Katrin

Высылаю новые логи.
26.05.2011, 05:09
polword

Отключите [B][COLOR="Red"]Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(6);
ExecuteRepair(8);
DeleteFile('%windir%\system32\Drivers\etc\hosts');
ExecuteRepair(13);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(20);
RebootWindows(true);
end.[/CODE]

После перезагрузки:
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

После обновления:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscheck.zip[/COLOR];
+ [QUOTE=thyrex;792371] пробуйте скачивать МВАМ[/QUOTE] и сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
26.05.2011, 07:02
Katrin

Спасибо! Сайты разблокировались Выполняю обновления.
26.05.2011, 09:08
Katrin

Отправляю новый лог. MBAM запущен,лог позже отправлю. Спасибо!
26.05.2011, 10:21
Katrin

Отправляю лог MBAM.
26.05.2011, 11:10
crush13

[B]Katrin[/B], [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите в MBAM[/URL] [B][COLOR="Red"]только эти строки[/COLOR][/B]:

[CODE]
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroMix32 (Trojan.Agent) -> Value: MicroMix32 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\Windows Services (Backdoor.IRCBot) -> Value: Windows Services -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MicroMix32 (Trojan.Agent) -> Value: MicroMix32 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Services (Backdoor.Bot) -> Value: Windows Services -> No action taken.

Заражённые файлы:
c:\WINDOWS\system32\rpcs.exe (Backdoor.Rbot) -> No action taken.
[/CODE]

Что с проблемой?
26.05.2011, 11:36
Katrin

Проблем больше не наблюдается:) Огромное СПАСИБО!
27.05.2011, 11:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\win32sta.dll - [B]Trojan.Win32.Qhost.vqd[/B] ( DrWEB: Trojan.Siggen.64670, BitDefender: Gen:Variant.Kazy.24213, AVAST4: Win32:Kryptik-CTH [Trj] )[/LIST][/LIST]