Не обновляется DrWeb и Avira

Printable View

26.05.2010, 15:19
zmitr

Не обновляется DrWeb и Avira

Стояла Avira, перестала обновляться. Снес, поставил DrWeb, вылечился от накопившейся заразы. DrWeb не обновляется и браузером на сайт не удаеться зайти
26.05.2010, 15:34
polword

[QUOTE]Внимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
- [B][COLOR="Red"]обновите базы AVZ[/COLOR][/B]
- Переделайте логи virusinfo_syscure.zip и virusinfo_syscheck.zip
26.05.2010, 15:56
zmitr

Сделал
26.05.2010, 16:55
V_Bond

выполните скрипт
[code]
begin
QuarantineFile('E:\разное\игры\11\rise.exe','');
QuarantineFile('C:\WINDOWS\system32\cmd.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\223m3c5k.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ahrg.exe','');
QuarantineFile('C:\WINDOWS\System32\MsiSrv\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\bugao.exe','');
QuarantineFile('C:\WINDOWS\system32\daji0.exe','');
QuarantineFile('C:\WINDOWS\system32\skytk.exe','');
QuarantineFile('C:\WINDOWS\system32\sh3sv.exe','');
QuarantineFile('C:\WINDOWS\system32\hmmm.exe','');
QuarantineFile('C:\WINDOWS\system32\hdw.exe','');
QuarantineFile('C:\WINDOWS\system32\dsd7c.exe','');
QuarantineFile('C:\WINDOWS\system32\zdawv.exe','');
QuarantineFile('C:\WINDOWS\system32\msdsdy.exe','');
QuarantineFile('C:\WINDOWS\system32\regedit32.exe','');
QuarantineFile('C:\WINDOWS\system32\re32.exe','');
QuarantineFile('C:\WINDOWS\system32\rdit32.exe','');
QuarantineFile('c:\progra~1\cefeh\cefeh.zip','');
end.
[/code]
пришлите карантин согласно приложения 3 правил
26.05.2010, 19:07
zmitr

Карантин отправил.
Некоторые файлы в карантин не загнались. Лог avz прикрепил.
27.05.2010, 10:38
zmitr

Спасибо за помощь,но похоже, тему можно закрывать. DrWeb обновился и начал лечить недолеченое ранее. Значит проблема была в DNS.
27.05.2010, 10:41
V_Bond

сделайте новые логи
27.05.2010, 17:19
zmitr

Новые логи
27.05.2010, 17:26
V_Bond

выполните скрипт
[code]
begin
SetAVZGuardStatus(True);
DeleteService('Shell32tion');
DeleteService('Spiritove');
DeleteService('systemover');
DeleteService('sdegfdfrwe DDOS Service');
DeleteService('sddsdaqewe DDOS Service');
DeleteService('PowerSuper');
DeleteService('npuServer');
DeleteService('MsiSrv');
DeleteService('msdsdear');
DeleteService('lang');
DeleteService('HpSLtionok');
DeleteService('BGrd Switch');
DeleteService('BGd Switch');
DeleteService('BackGround Switch');
DeleteService('assdsfia');
DeleteFile('C:\WINDOWS\system32\regedit32.exe');
DeleteFile('C:\WINDOWS\system32\re32.exe');
DeleteFile('C:\WINDOWS\system32\rdit32.exe');
DeleteFile('C:\WINDOWS\system32\mlddo.exe');
DeleteFile('C:\WINDOWS\system32\lang.exe');
DeleteFile('C:\WINDOWS\system32\Mcaerc.exe');
DeleteFile('C:\WINDOWS\System32\MsiSrv\smss.exe');
DeleteFile('C:\WINDOWS\system32\dsd7c.exe');
DeleteFile('C:\WINDOWS\system32\bugao.exe');
DeleteFile('C:\WINDOWS\system32\hmmm.exe');
DeleteFile('C:\WINDOWS\system32\hdw.exe');
DeleteFile('C:\WINDOWS\system32\daji0.exe');
DeleteFile('C:\WINDOWS\system32\sh3sv.exe');
DeleteFile('C:\WINDOWS\system32\skytk.exe');
DeleteFile('C:\Documents and Settings\Администратор\Рабочий стол\223m3c5k.exe');
DeleteFile('C:\WINDOWS\system32\14463f.dll');
DeleteFile('C:\WINDOWS\system32\mlEtNSmqBKiB.dll');
ExecuteRepair(16);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
27.05.2010, 18:39
zmitr

Повторяю логи
27.05.2010, 22:11
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\msdsdy.exe','');
QuarantineFile('C:\WINDOWS\system32\zdawv.exe','');
DeleteService('DistribClient');
DeleteService('assdsfia');
DeleteFile('C:\WINDOWS\system32\zdawv.exe');
DeleteFile('C:\WINDOWS\system32\msdsdy.exe');
DeleteFile('C:\PROGRA~1\cefeh\cefeh.zip');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ias\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]
var
i : integer;
KeyList : TStringList;
begin
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then
begin
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+KeyList[i]+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+KeyList[i]+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
KeyList.Free;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
28.05.2010, 10:40
zmitr

Логи
28.05.2010, 11:09
V_Bond

что с проблемами ?
28.05.2010, 15:11
zmitr

Оставались проблемы с правами доступа к реестру, их решил. Тему можно закрывать.
29.05.2010, 15:11
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\application data\ahrg.exe - [B]P2P-Worm.Win32.Palevo.aash[/B] ( DrWEB: Trojan.MulDrop1.12950, BitDefender: Backdoor.Tofsee.BU, AVAST4: Win32:Flot-E [Trj] )[*] c:\progra~1\cefeh\cefeh.zip - [B]Trojan-PSW.Win32.Bjlog.eap[/B] ( BitDefender: Trojan.Generic.2943837, NOD32: Win32/Redosdru.AW trojan, AVAST4: Win32:Malware-gen )[*] d:\autorun.inf - [B]Trojan.Win32.AutoRun.afz[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]