Блокированы антивирусы

Printable View

Показывать 40 сообщений этой темы на одной странице

29.11.2010, 21:43
POL23

:(
29.11.2010, 21:49
polword

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL] в безопасном режиме
29.11.2010, 22:29
POL23

Сделал, вот лог
29.11.2010, 22:34
polword

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\'DnЂ
c:\windows\system32\ahokvbw.exe
c:\documents and settings\All Users\systems.exe

Driver::

NetSvc::

Folder::
c:\program files\Common Files\ACC35333a

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

- Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
29.11.2010, 22:43
POL23

Новый отчет не создается, тк запуск Combofix блокируется- сразу после запуска (0.1 сек) окно пропадает навеки
29.11.2010, 23:04
polword

[QUOTE=thyrex;739225]Загрузитесь в безопасном режиме с поддержкой командной строки и запустите AVZ с ключом ag=y[/QUOTE]
если так получется запустить AVZ, то [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт [/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\windows\system32\'DnЂ','');
QuarantineFile('c:\windows\system32\ahokvbw.exe','');
QuarantineFile('c:\documents and settings\All Users\systems.exe','');
DeleteFile('c:\documents and settings\All Users\systems.exe');
DeleteFile('c:\windows\system32\ahokvbw.exe');
DeleteFile('c:\windows\system32\'DnЂ');
DeleteFileMask('c:\program files\Common Files\ACC35333a', '*.*', true);
DeleteDirectory('c:\program files\Common Files\ACC35333a');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
29.11.2010, 23:09
POL23

Как назвать файл с этим кодом, и как его выполнить в безопасном режиме? Из AVZ? А после перезагрузки-войти в нормальном режиме? Или - тоже в безопасном?
29.11.2010, 23:26
polword

- Сохраните текст Скрипта как [B][COLOR="DeepSkyBlue"]1.txt[/COLOR][/B]
- запустите АVZ
- файл=>выполнить скрипт=>кнопка загрузить=>выбираете файл 1.txt=>кнопка запустить

после перезагрузки-в нормальный
30.11.2010, 00:32
POL23

В скрипте было 2 ошибки- в 5 и 10 строчке пришлось убрать апостроф перед странным именем файла- иначе AVZ не хотела выполнять скрипт. После перезагрузки, инициированной скриптом, произошло еще 2-3 перезагрузки (самопроизвольно). Но сейчас симптомы заражения отсутствуют- не прописаны левые маршруты, не блокируется AVZ, и сама запустилась Kaspersky Virus Removal Tool 2010, которую когда-то раньше я загрузил и не отпускал.
Архив с карантином AVZ вот:

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Я закачал свежие диагностические инструменты и сейчас буду выполнять процедуры по ПРАВИЛАМ, но это займет очень много времени: одна полная проверка моим Nod32 может и не окончиться до утра. Но я доведу дело до конца- пусть и завтра.
А сегодня- всем, кто участвовал в излечении моего кома- огромное спасибо.
02.12.2010, 02:39
POL23

Только сейчас смог завершить диагностику по правилам.
Шлю логи
02.12.2010, 05:44
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\ahokvbw.exe','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp','');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp');
DeleteFile('C:\WINDOWS\system32\ahokvbw.exe');
RegSearch('HKLM', '', 'espC6DB.tmp');
RegSearch('HKLM', '', 'esp8D43.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])
02.12.2010, 20:42
POL23

SP3 ставил вчера. Всё бы хорошо, но сразу пропала возможность получить IPадрес автоматически-следовательно пропал интернет. Провайдеру звонить не рискнул, тк сейчас живу совсем не по тому адресу, на который заключен договор (но провода от этого провайдера там есть). Менять договор не хочу, тк по старому адресу родственники пользуются услугами по этому же договору (не интернет). Как только снес SP3 - сразу восстановилась связь.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Диагностику сейчас начну делать
02.12.2010, 21:49
POL23

Вот логи:
02.12.2010, 22:08
Шапельский Александр

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\1','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp','');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp');
RegSearch('HKLM', '', 'espC6DB.tmp');
RegSearch('HKLM', '', 'esp8D43.tmp');
SaveLog(GetAVZDirectory + 'search11.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог [B]virusinfo_syscheck.zip[/B]
Файл [B]search11.log[/B] найдите в папке AVZ и прикрепите с новым логом в новом сообщении
02.12.2010, 22:38
POL23

Сделано
02.12.2010, 22:42
POL23

Файл карантина не грузится- причина: такой файл уже был загружен (но по дате видно, что он новый)
02.12.2010, 23:03
Шапельский Александр

Внимательно прочтите и закачайте карантин--[URL="http://virusinfo.info/showpost.php?p=335978&postcount=1"]http://virusinfo.info/showpost.php?p=335978&postcount=1[/URL]
02.12.2010, 23:13
thyrex

Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\FBEF0723');
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip
02.12.2010, 23:52
POL23

Сделано. Вот лог:
ЗЫ:Файл карантина загрузил чуть ранее
03.12.2010, 00:25
thyrex

Что за странный файл [B]C:\1[/B] -?

Показывать 40 сообщений этой темы на одной странице