Блокированы антивирусы

Сайты антивирусов доступны, но блокируются скачка и запуск avz, combofix, hijackthis, вылетает браузер при поиске антивирусного ПО. При загрузке компьютера прописывается куча неизвестных маршрутов. Чем просканировать комп в таком случае?

Переименовать avz и hijackthis пробовали?

Да (только AVZ)- не помогло

[QUOTE=POL23;739084]Да (только AVZ)- не помогло[/QUOTE]
Сделайте логи по правилам--[URL]http://virusinfo.info/pravila.html[/URL]

скачка hijackthis и AVPTool блокируется- вылетает браузер, avz скачал, но при запуске он сразу вылетает (даже переименованный)

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

скачал переименованный hijackthis из указанного альтернативного места. Он скачался, но при запуске сразу вылетает, как и avz.

[URL="http://gjf.hotbox.ru/mink.pif"]Таким АВЗ [/URL]пробуйте

Пробовал- то же самое: на 0.1 сек мелькнуло окно и исчезло

Скачайте и запустите утилиту. Затем пробуйте делать логи.

Сделал, результат тот же. (утилита ничего не удалила, нашла только 4 Spliced funktions. после ее завершения авз ведет себя по прежнему- сразу вылетает. и hijackthis тоже).

[URL="http://www.freedrweb.com/download+cureit/gr/?lng=ru"]http://www.freedrweb.com/download+cureit/gr/?lng=ru[/URL] Эту утилиту сможете скачать?

Это drweb. Сегодня уже запускал. Нашла 4 зараженных трояном файла. Правда сканировал только с: (хардов и разделов на них много- все будет сканировать очень долго). Сейчас скачал Вашу версию drweb, запустил, сканирую.

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Быстрая проверка drweb CureIt ничего не нашла. Запустил полную- но это надолго.
Есть ли еще какие рекомендации?

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Снова блокируются антивирусные сайты- вылетает браузер (opera и GoogleChrome) при попытке доступа к ним.

Скачайте [url="http://www2.online-solutions.ru/ru/download_file.php?p=65580"]"OSAM" (Online Solutions Autorun Manager)[/url].
Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

DownloadMaster вылетел при попытке скачать утилиту. Из браузера удалось закачать, но она также мгновенно вылетает при попытке запуска

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

Пробовал запустить ее из командной строки- вылетает и cmd тоже

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Текущая проверка DrWeb CureIt нашла два подозрительных файла с размещением в c:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\ подозрение на BATCH.Virus Проверка продолжается

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Кстати, OSAM не понравился моему Nod32 - при загрузку он предупреждал о вредном ПО

[QUOTE='POL23;739173']Кстати, OSAM не понравился моему Nod32 - при загрузку он предупреждал о вредном ПО [/QUOTE]
Либо файл инфицированный, либо ложное срабатывание.

Ну да, пациент либо жив, либо уже умер

Загрузитесь в [B]безопасном режиме с поддержкой командной строки[/B] и запустите AVZ с ключом [B]ag=y[/B]

АА...А! Караул! После выбора п меню - загрузка безоп режима с подд ком строки пошла его загрузка - секунды 2, потом экран стал почти точной копией известной картины Малевича с той лишь разницей, что был не совсем квадратом, а прямоугольником. При этом звук и индикатор работы HDD указывали на очень интенсивную работу хардов. Всё это безобразие длилось не менее 20 минут, пока я не нажал Reset. Раньше я не рискнул- ждал момента, когда индикатор HDD будет мигать пореже. Помогите советом, что делать? Загрузиться в безоп режиме не удалось

[size="1"][color="#666686"][B][I]Добавлено через 24 минуты[/I][/B][/color][/size]

Сегодня, наверное , ответа не дождусь. Поздно уже. Да и мне через 3,5 часа вставать на работу. Спасибо всем, кто пытался и будет пытаться помочь. Пойду отключусь, а завтра вечером (те сегодня) продолжим.

[QUOTE='POL23;739238']звук и индикатор работы HDD указывали на очень интенсивную работу хардов. Всё это безобразие длилось не менее 20 минут, пока я не нажал Reset. Раньше я не рискнул- ждал момента, когда индикатор HDD будет мигать пореже. Помогите советом, что делать? Загрузиться в безоп режиме не удалось[/QUOTE]
Видимо, у вас шла проверка chkdsk'ом.
Фокус в том, что в безопасном режиме этот процесс на экране не отображается.
Надо было подождать подольше.

Спасибо, видимо, Вы правы

Из Safe mode был запущен hijackthis и получен лог (я его переименовал в ht.txt).
AVZ тоже была запущена- найдено в одном экзешике SMSBomb и отмечено много потенциальных уязвимостей в настройках Windows- несколько разрешенных потенциально опасных служб, восстановление системы -включено (хотя я его вчера отключал). Куда делся лог от AVZ- не знаю, не нашел.

:(

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"][COLOR="Blue"][B]Combofix[/B][/COLOR][/URL] в безопасном режиме

Сделал, вот лог

Скопируйте текст ниже в блокнот и сохраните как файл с названием [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на рабочий стол.
[CODE]
KillAll::

File::
c:\windows\system32\'DnЂ
c:\windows\system32\ahokvbw.exe
c:\documents and settings\All Users\systems.exe

Driver::

NetSvc::

Folder::
c:\program files\Common Files\ACC35333a

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

FileLook::

DirLook::[/CODE]

После сохранения переместите [COLOR="Blue"][B]CFScript.txt[/B][/COLOR] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

- Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])

Новый отчет не создается, тк запуск Combofix блокируется- сразу после запуска (0.1 сек) окно пропадает навеки

[QUOTE=thyrex;739225]Загрузитесь в безопасном режиме с поддержкой командной строки и запустите AVZ с ключом ag=y[/QUOTE]
если так получется запустить AVZ, то [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт [/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\windows\system32\'DnЂ','');
QuarantineFile('c:\windows\system32\ahokvbw.exe','');
QuarantineFile('c:\documents and settings\All Users\systems.exe','');
DeleteFile('c:\documents and settings\All Users\systems.exe');
DeleteFile('c:\windows\system32\ahokvbw.exe');
DeleteFile('c:\windows\system32\'DnЂ');
DeleteFileMask('c:\program files\Common Files\ACC35333a', '*.*', true);
DeleteDirectory('c:\program files\Common Files\ACC35333a');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])

Как назвать файл с этим кодом, и как его выполнить в безопасном режиме? Из AVZ? А после перезагрузки-войти в нормальном режиме? Или - тоже в безопасном?

- Сохраните текст Скрипта как [B][COLOR="DeepSkyBlue"]1.txt[/COLOR][/B]
- запустите АVZ
- файл=>выполнить скрипт=>кнопка загрузить=>выбираете файл 1.txt=>кнопка запустить

после перезагрузки-в нормальный

В скрипте было 2 ошибки- в 5 и 10 строчке пришлось убрать апостроф перед странным именем файла- иначе AVZ не хотела выполнять скрипт. После перезагрузки, инициированной скриптом, произошло еще 2-3 перезагрузки (самопроизвольно). Но сейчас симптомы заражения отсутствуют- не прописаны левые маршруты, не блокируется AVZ, и сама запустилась Kaspersky Virus Removal Tool 2010, которую когда-то раньше я загрузил и не отпускал.
Архив с карантином AVZ вот:

[size="1"][color="#666686"][B][I]Добавлено через 21 минуту[/I][/B][/color][/size]

Я закачал свежие диагностические инструменты и сейчас буду выполнять процедуры по ПРАВИЛАМ, но это займет очень много времени: одна полная проверка моим Nod32 может и не окончиться до утра. Но я доведу дело до конца- пусть и завтра.
А сегодня- всем, кто участвовал в излечении моего кома- огромное спасибо.

Только сейчас смог завершить диагностику по правилам.
Шлю логи

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\system32\ahokvbw.exe','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp','');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp');
DeleteFile('C:\WINDOWS\system32\ahokvbw.exe');
RegSearch('HKLM', '', 'espC6DB.tmp');
RegSearch('HKLM', '', 'esp8D43.tmp');
SaveLog(GetAVZDirectory + 'search.log');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
Обновите систему
- SP2 обновите до [URL="http://www.microsoft.com/Downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4"]Service Pack 3[/URL](может потребоваться активация)
[B]*[/B] Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[B]*[/B] Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.[URL="http://windows.microsoft.com/ru-ru/windows/help/end-support-windows-xp-sp2-windows-vista-without-service-packs?os=xp"]тут[/URL]
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]

- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.1-3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log[/COLOR])

SP3 ставил вчера. Всё бы хорошо, но сразу пропала возможность получить IPадрес автоматически-следовательно пропал интернет. Провайдеру звонить не рискнул, тк сейчас живу совсем не по тому адресу, на который заключен договор (но провода от этого провайдера там есть). Менять договор не хочу, тк по старому адресу родственники пользуются услугами по этому же договору (не интернет). Как только снес SP3 - сразу восстановилась связь.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Диагностику сейчас начну делать

Вот логи:

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\1','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp','');
QuarantineFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp','');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\espC6DB.tmp');
DeleteFile('C:\DOCUME~1\Pol\LOCALS~1\Temp\esp8D43.tmp');
RegSearch('HKLM', '', 'espC6DB.tmp');
RegSearch('HKLM', '', 'esp8D43.tmp');
SaveLog(GetAVZDirectory + 'search11.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
закачайте карантин по ссылке [B][COLOR=Red]Прислать запрошенный карантин[/COLOR][/B] в шапке Вашей темы (Приложение 3 правил).
Сделайте новый лог [B]virusinfo_syscheck.zip[/B]
Файл [B]search11.log[/B] найдите в папке AVZ и прикрепите с новым логом в новом сообщении

Сделано

Файл карантина не грузится- причина: такой файл уже был загружен (но по дате видно, что он новый)

Внимательно прочтите и закачайте карантин--[URL="http://virusinfo.info/showpost.php?p=335978&postcount=1"]http://virusinfo.info/showpost.php?p=335978&postcount=1[/URL]

Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\BB4D13C3');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet001\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\FBEF0723');
RegKeyDel('HKLM', 'SYSTEM\ControlSet005\Control\Print\Providers\FBEF0723');
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

Сделано. Вот лог:
ЗЫ:Файл карантина загрузил чуть ранее

Что за странный файл [B]C:\1[/B] -?