Блокировка антивирусов

Помогите!!!

Сайты Касперского и DrWeb не загружаются ни под каким видом!
Купил антивирус Касперского 7.0, установка не проходит до конца - нет активации программы, а сама программа не запускается...

Купил на dom.ru DrWeb, инсталляция выдает ошибку сразу после запроса о Лицензионном сообщении...

AVZ запустилась только после переименования...

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
SetServiceStart('aic32p', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\njgqtn.sys','');
QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winnenta.exe','');
QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winmsnp.exe','');
QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winbottry.exe','');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winbottry.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winmsnp.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winnenta.exe');
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25302[/url]

2.Если происхождение этих строк Вам не известно, пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225 [/CODE]

3. Повторить логи.

Здравствуйте!

Скрипт выполнил.
При загрузке карантина по ссылке выдалась ошибка:
[I][FONT=Arial Black]Unknown error. File not uploaded[/FONT][/I]

Что дальше?

А дальше - [QUOTE=Kuzz;246577]

3. Повторить логи.[/QUOTE]

Жду дальнейших указаний.

[QUOTE]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/QUOTE]
А базы обновлять необходимо.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\quicktime\qttask.exe','');
QuarantineFile('C:\Program Files\Messenger\msmsgs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\njgqtn.sys','');
QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winumkgrk.exe','');
QuarantineFile('c:\docume~1\de99~1\locals~1\temp\wintwud.exe','');
QuarantineFile('c:\docume~1\de99~1\locals~1\temp\winmbtbbc.exe','');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winmbtbbc.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\wintwud.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winumkgrk.exe');
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Сделайте логи снова.

[QUOTE]
А базы обновлять необходимо.
[/QUOTE]

AVZ и HiJackThis скачал только на этой неделе... AVZ на всякий случай обновил перед созданием этих логов.

Или речь о "Центре обеспечения безопасности"? Включить обновления (как раз вирусов и боялся)?

Речь шла именно об AVZ.
Выполните:

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('mnmsrvc', 4);
DeleteService('aic32p');
SetServiceStart('aic32p', 4);
StopService('aic32p');
TerminateProcessByName('c:\docume~1\de99~1\locals~1\temp\winrghnk.exe');
TerminateProcessByName('c:\docume~1\de99~1\locals~1\temp\windrtmx.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\windrtmx.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winrghnk.exe');
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пофиксите:
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
[/CODE]

Сделайте логи еще раз.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

И еще.
Обновлять систему все таки необходимо.
Обновления закрывают дыры, через которые троянописателям удаётся устанавливать в систему своих зверьков.

Done!

На каком мы сейчас этапе (% выполнения)?:)

Эх.. К сожалению, мы все время возвращались к начальному состоянию

1. Скачайте IceSword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]

2. Запустите, слева внизу нажмите File, затем найдите файлы:
c:\docume~1\de99~1\locals~1\temp\windqttb.exe
c:\docume~1\de99~1\locals~1\temp\winirik.exe
c:\docume~1\de99~1\locals~1\temp\winpmon.exe
C:\WINDOWS\system32\drivers\njgqtn.sys
и сделайте им [url=http://virusinfo.info/showthread.php?t=17228]Force Delete[/url].

3. [url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis:[/url]
[CODE]
O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
[/CODE]
4. [url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/url]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\windqttb.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winirik.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winpmon.exe');
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
________________

После всего этого повторите логи.

Извините, но я не нахожу указанные файлы

c:\docume~1\de99~1\locals~1\temp\windqttb.exe
c:\docume~1\de99~1\locals~1\temp\winirik.exe
c:\docume~1\de99~1\locals~1\temp\winpmon.exe
C:\WINDOWS\system32\drivers\njgqtn.sys

Не находите так, как указано по ссылке [url=http://virusinfo.info/showthread.php?t=17228]Force Delete[/url]?

Нет!
Ни внутри IceSword, ни в Проводнике, ни через Поиск не нахожу...
Да и папка c:\docume~1\de99~1\ не понятна... есть C:\Documents and Settings\Default User, других папок на de* нет.


C:\Documents and Settings\Default User\Local Settings\Temp вообще пуста

Тогда в C:\Documents and Settings\Default User поищите.

Поисковик на всем С: таких файлов не находит...

Речь идет о поиске и удалении файлов через IceSword

В IceSword тоже не нахожу, увы(((

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('aic32p');
DeleteFileMask('c:\docume~1\de99~1\locals~1\temp\','win*.exe',false);
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Еще раз сделать логи.

Ошибка скрипта: ';' expected, позиция [6:2]

Вот...

Отключете сеть.

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\de99~1\locals~1\temp\winnihik.exe');
QuarantineFile('C:\WINDOWS\system32\NeroCheck.exe','');
DeleteFile('C:\WINDOWS\system32\NeroCheck.exe');
DeleteFile('c:\docume~1\de99~1\locals~1\temp\winnihik.exe');
DeleteFileMask('c:\docume~1\de99~1\locals~1\temp\','win*.exe',false);
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{032FF875-319E-4646-93CE-938A3ACAF2E9}: NameServer = 85.113.62.225 85.113.63.225 [/CODE]

Теперь можно включить сеть.
Повторить логи.
(Мы его таки добьем!)

Сеть отключил
1. Done
2. Таких строчек нет...

Логи ждем-сссс 8)

А сейчас строчки "O17..." появились...

На чистой машине скачайте CureIt.
Распакуйте его (Винрар-ом, к примеру)
Переименуйте _start.exe во что-то нейтральное (напр. 123.exe)
Запишите на компакт-диск.
Попробуйте просканировать систему таким средством.

[size="1"][color="#666686"][B][I]Добавлено через 1 час 10 минут[/I][/B][/color][/size]

[QUOTE]Где взять CureIt?
Можете ли дать ссылку?

Заранее благодарю[/QUOTE]

Она в правилах в пункте 2 указана.

Вот здесь лежит
[url]ftp://ftp.drweb.com/pub/drweb/cureit/[/url]
с разными именами файлов.

Ну-да, вспомнил..., пункт 2 мне не удавался...

[QUOTE] [IMG]http://virusinfo.info/images/icons/icon4.gif[/IMG] [B]Блокировка антивирусов[/B]
Помогите!!!

Сайты Касперского и DrWeb не загружаются ни под каким видом!
[/QUOTE]

Сейчас, при клике на ссылку IExplorer отваливается:?

Сейчас на рапиду скину.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[url]http://rapidshare.com/files/125431277/runner.exe.html[/url]

К сожалению, скачать с рапида не удается((
Возможно ли переслать на mail?

Добавлено:
Предположу, что инсталляция тоже не пройдет - это одна из причин моей темы

К слову: c:\docume~1\de99~1\locals~1\...
Это не Default User, в таком кривом виде пути на русском языке в короткую форму упаковываются. Скорее всего, речь идёт о личном профиле.

В личном профиле тоже этих файлов нет...

[size="1"][color="#666686"][B][I]Добавлено через 10 часов 32 минуты[/I][/B][/color][/size]

...

[QUOTE][URL="http://virusinfo.info/member.php?u=7702"][B][COLOR=brown]Kuzz[/COLOR][/B][/URL]
Helper

[URL="http://virusinfo.info/member.php?u=7702"][IMG]http://virusinfo.info/customavatars/avatar7702_4.gif[/IMG][/URL]

Регистрация: 11.12.2006
Адрес: UA,Днепр
Сообщения: 671
Репутация: 2536
[URL="http://virusinfo.info/showthread.php?t=25302&page=2#"][IMG]http://virusinfo.info/images/misc/im_icq.gif[/IMG][/URL]

На чистой машине скачайте CureIt.
Распакуйте его (Винрар-ом, к примеру)
Переименуйте _start.exe во что-то нейтральное (напр. 123.exe)
Запишите на компакт-диск.
Попробуйте просканировать систему таким средством.

[/QUOTE]

БОЛЬШОЕ СПАСИБО!
1."Такое средство" помогло вылечить/обезвредить более 1900(!) :P файлов, включая и антивирусы... за 3,5 часа.

2. Перегрузился

3. Попробовал зайти на сайт Касперского. УСПЕХ!8)

4. Установил Касперского. УДАЧНО!:D

Но... обновление застопорилось из-за системных установок (точно не помню), может дело в [QUOTE][B][COLOR=#a52a2a]7. [/COLOR][/B]Отключите восстановление системы [/QUOTE]?

Что необходимо сделать для удачного завершени?

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

Касперский обнаруживает какой-то sality.z

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Не думал, что буду так радоваться звуку визжащего поросенка:237:

[size="1"][color="#666686"][B][I]Добавлено через 1 час 17 минут[/I][/B][/color][/size]

В "резервном хранилище системы" (D:\System Volume Information\_restore{...})Касперский уничтожил кучу программ Trojan-GameThief.Win32.OnLineGames.asv и вирусов Virus.Win32.Sality.z:385:
Ну и по мелочи продолжает... Как забавно они повизгивают... Судя по шкале прогресса, это будет длиться еще часа 4.
Убавляю звук и ложусь спать :lazy:

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 41 минуту[/I][/B][/color][/size]

83% выполнения, что-то долго... (предлагает еще каждый день такую проверку делать :O)

Пора на работу:367:

Итак!
Пора ли включать "восстановление системы"?
Что-нибудь еще надо сделать?

Это хорошо, что удалось пролечить систему CureIt-ом.
Надеюсь, проверка Касперским закончилась? :D
Тогда повторите логи (начиная с 10-го пункта правил) для контроля.

Длительность первого сканирования KAV/KIS можно объяснить тем, что еще не созданы списки ранее проверенных файлов
и наличием большого количества найденного (на каждом из них антивирусу приходтся выполнять еще много дополнительных действий.)
В дальнейшем сканирование будет производиться быстрее.

Восстановление системы можно будет включить после окончания лечения.

- Скажите, доктор, а я буду жить?
- ... А смысл?

Вроде чисто, но нужно убрать "хвосты":
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
DeleteService('aic32p');
DeleteFile('C:\WINDOWS\system32\drivers\njgqtn.sys');
DeleteFile('C:\WINDOWS\system32\drivers\asc3350p.sys');
DeleteFile('C:\WINDOWS\system32\drivers\asc3550.sys');
DeleteFile('C:\WINDOWS\system32\drivers\asc.sys');
end.[/CODE]

Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:
[quote=anton_dr;202455]
И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?[/quote]
Вы можете его высказать в теме [url= http://virusinfo.info/showthread.php?t=19883]Скажи, что ты думаешь о Virusinfo[/url]

1. Скрипт выполнил...
Однако этих файлов я не нашел(( (до выполнения скрипта)!

2. Отзыв написал)))

Их и не должно быть.
2 команды скрипта устраняют "последствия" в реестре, а 3 - это вроде моей личной паранои))