антивирус Др.Веб перестал обновляться, с интернетом проблемы

Printable View

01.02.2010, 15:07
tmsc

антивирус Др.Веб перестал обновляться, с интернетом проблемы

Антивирус Др.Веб перестал обновляться
Сетевое окружение работает, а интернет не работает. (дело не в провайдере!)
Посмотрите, пожалуйста, логи...
01.02.2010, 15:40
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\63466935B8B1D800\63466935B8B1D800','');
QuarantineFile('C:\WINDOWS\system32\afd.dll','');
QuarantineFile('%WinDir%\RVHOST.exe','');
QuarantineFile('C:\WINDOWS\system32\RVHOST.exe','');
DeleteFile('C:\WINDOWS\system32\RVHOST.exe');
DeleteFile('%WinDir%\RVHOST.exe');
DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportAll;
Executerepair(6);
Executerepair(14);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
01.02.2010, 16:15
tmsc

Карантин загрузил.
01.02.2010, 16:22
Шапельский Александр

[QUOTE='shapel;575939']Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению. [/QUOTE]
Где логи?
01.02.2010, 17:29
tmsc

Извините, туплю. Новые логи во вложении.
01.02.2010, 17:59
Шапельский Александр

C:\Documents and Settings\Администратор\Рабочий стол\63466935B8B1D800\63466935B8B1D800--это Вам знакомо?
Закройте/выгрузите все программы кроме AVZ .
Отключите:
- ПК от интернета/локалки;
- антивирус и файрвол;
- выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\63466935B8B1D800\63466935B8B1D800','');
QuarantineFile('C:\WINDOWS\system32\afd.dll','');
QuarantineFile('C:\WINDOWS\lsass.exe','');
DeleteService('kkdc');
SetServiceStart('kkdc', 4);
StopService('kkdc');
DeleteFile('C:\WINDOWS\lsass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
затем следующий
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
После выполнить:
- включите антивирус и файрволл;
- подключите ПК к интернету/локалке;
- файл [B]quarantine.zip[/B] закачайте по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B]
в шапке Вашей темы.
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.
01.02.2010, 18:35
tmsc

1. При попытке загрузки карантина выдает:
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен.
2. Лог во вложении.
01.02.2010, 18:37
tmsc

[QUOTE=shapel;576115]C:\Documents and Settings\Администратор\Рабочий стол\63466935B8B1D800\63466935B8B1D800--это Вам знакомо?[/QUOTE]
не знакомо, сейчас этой папки на рабочем столе нет
01.02.2010, 18:46
Шапельский Александр

Выполните скрипт
[CODE]begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('navigator');
QuarantineFile('C:\WINDOWS\system32\afd.dll','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\63466935B8B1D800\63466935B8B1D800','');
DeleteService('63466935B8B1D800');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\63466935B8B1D800\63466935B8B1D800');
DeleteFile('C:\WINDOWS\system32\afd.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.
Сделайте лог Gmer
01.02.2010, 20:34
tmsc

Логи:
PS: заменил virus на syscure
01.02.2010, 20:50
Шапельский Александр

Карантин из темы уберите, а другой лог АВЗ прикрепите (virusinfo_syscure.zip)

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится n32210pw.exe (gmer)
[CODE]n32210pw.exe -del service 63466935B8B1D800
n32210pw.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\63466935B8B1D800"
n32210pw.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\63466935B8B1D800"
n32210pw.exe -reboot[/CODE]
И запустите cleanup.bat. Компьютер перезагрузится. Сделать новый лог gmer
01.02.2010, 22:15
tmsc

Новый лог gmer (делается 75 минут):
01.02.2010, 22:41
Шапельский Александр

В логе чисто, что с проблемой?
01.02.2010, 22:58
tmsc

Компьютер работает хорошо. СПАСИБО!

Проблема:
Компьютер является интернет-сервером (интернет выделенный, в компе 2 сетевухи, одноранговая сеть на Windows XP Prof)
На этом компьютере интернет работает, а на других компьютерах перестал работать интернет (хотя сеть работает и друг друга компьютеры видят).

Вопросы:
Что посоветуете?
Придется повторять процедуру со всеми 10-ю компьютерами?
Или может есть более быстрое решение? (удалить такие-то файлы оттуда-то (если одинаковая зараза))
Не перекинется ли на этот вылеченный комп зараза с других компьютеров?
И что хоть за дрянь была???
01.02.2010, 23:05
Шапельский Александр

[QUOTE='tmsc;576383']Вопросы:
Что посоветуете?
Придется повторять процедуру со всеми 10-ю компьютерами?
Или может есть более быстрое решение? (удалить такие-то файлы оттуда-то (если одинаковая зараза))
Не перекинется ли на этот вылеченный комп зараза с других компьютеров?
И что хоть за дрянь была??? [/QUOTE]
Идеально было бы отключить все ПК от сети и пролечить каждый. Есть вероятность, что по сети зараза распространяется.
01.02.2010, 23:22
tmsc

[QUOTE=shapel;576390]Идеально было бы отключить все ПК от сети и пролечить каждый. Есть вероятность, что по сети зараза распространяется.[/QUOTE]

1. Пролечить таким же образом? (AVZ+Hijack)
2. А если на компьютере нет папок с общим доступом, то сможет эта зараза пролезть на него?
3. Брандмауэр должен быть включен? Или лучше поставить какой-нибудь фаерволл?

PS:
блин, все от сети отключить не получится, т.к. на половине компьютеров _круглосуточно_ работают с программой, база данных которой лежит на одном из компьютеров (организация = подразделение Почты России)
01.02.2010, 23:41
Шапельский Александр

Раз такая ситуация, просканируйте ПК Куреитом (др.Веб) или AVPTool, а те ПК, которые работают круглосуточно--сделайте лог Hijack и ст. скрипт №2
По поводу брандмаурера... посоветовать не смогу, т.к. ПК работают в организации и могут возникнуть проблемы. Это лучше обратиться к админам, например, создав тему в соответствующем разделе нашего форума, и описать проблему.
02.02.2010, 23:41
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]