Блокируются антивирусные сайты

Printable View

18.09.2010, 19:46
GrAndAG

Блокируются антивирусные сайты

Сегодня при очередном обновлении DrWeb'а (штатный антивирус) не смог пробиться на его сайт (drweb.com или .ru). Попытки доступа к сайтам к сайтам kaspersky.com, virusinfo.info, [url]www.z-oleg.com[/url] также блокируются. tracert блокируется на уровне компа (т.е. нету даже ответа от роутера). DNS ресолвится нормально. В безопасном режиме система WinXP не загружалась.

Скаченные окольными путями Kaspersky Removal Tool и AVZ не запускались (возникающее было окошко тут же убивалось). DrWeb c вчерашними базами работал, но ничего не находил. Вручную в реестре было обнаружено, что к ветке Winlogon к ключу UserInit кроме 'c:\windows\system32\userinit.exe,' приписалось ещё какое-то 'C:\WINDOWS\system32\aqkyna.exe'. Кроме этого файла в каталоге System32 были также обнаружены свежие файлы с нечитающимися именами (случайные символы). По размеру и содержимому похожие на упомянутый aqkyna.exe. Один из них всегда имел текущее время создания (обновлялось вместе с часами), правда был нулевого размера.

Файл aqkyna.exe был переименован, реестр поправлен. После перезагрузки стало возможным запустить антивирусники. Kaspersky нашёл 3 неактивных трояна и всё. Доступа к сайтам так и нет. aqkyna.exe ни у одного антивируса подозрений не вызвал.

Просканировал AVZ с теми базами, которые были с ним в комплекте, ибо обновление (доступ к сайту) блокируется.
18.09.2010, 20:44
Никита Соловьев

Пофиксите в Hijackthis:
[CODE]R3 - URLSearchHook: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: Доступ к платному контенту FieryAds v2.1.0 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - (no file)
O4 - Global Startup: ?i??o?s Desкtор S??r?h.lnk[/CODE]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ExecuteRepair(20);
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте лог [URL=http://virusinfo.info/showthread.php?t=53070]MBAM[/URL]
18.09.2010, 21:50
GrAndAG

Спасибо. Доступ к сайтам восстановился.
Прилагаю лог MBAM.
18.09.2010, 21:56
Никита Соловьев

Удалите:
[CODE]Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d125299-c2a9-4dbc-bec3-6f7124e39a41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Fci (Rootkit.Agent) -> No action taken.

Зараженные папки:
C:\Documents and Settings\Alexander\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\WINDOWS\system32\AdCache (AdWare.Cydoor) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency\TMAgent (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency\TMAgent\update (Adware.TMAagent) -> No action taken.
C:\WINDOWS\mssrvc (Trojan.Agent) -> No action taken.

C:\Documents and Settings\Alexander\Application Data\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
C:\System Volume Information\_restore{D5F0A528-FA93-4326-8867-8504E8436520}\RP1\A0000034.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\_aqkyna.exe._ (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\ЁЧ._ (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\њ»еџњ;п¶Pз‚‰._ (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\curver.xml (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Alexander\Local Settings\Application Data\Target Marketing Agency\TMAgent\update\updateInfo.xml (Adware.TMAagent) -> No action taken.
C:\Documents and Settings\Alexander\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.[/CODE]

Сделайте новый лог МВАМ
18.09.2010, 23:04
GrAndAG

Сделано.
18.09.2010, 23:14
Никита Соловьев

Отлично. Проблема решена?
19.09.2010, 01:16
GrAndAG

Да, на данный момент всё в порядке. Спасибо ещё раз.