Не запускаются сайты антивирусов не обновляются антивирусы

**RMP** · 05.05.2010, 22:55

avz_syscheck

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Шапельский Александр** · 05.05.2010, 23:00

Сообщение от thyrex

Лог gmer сделайте

Сделайте лог

**RMP** · 06.05.2010, 10:34

Логи Gmer

**polword** · 06.05.2010, 11:24

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('D:\WINDOWS\system32\ndvot.dll','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- Сохраните текст ниже как 1.bat в ту же папку, где находится 8o65rpi6.exe (GMER) и запустите этот батник(1.bat):

Код:

8o65rpi6.exe -del service hpozdyu 
8o65rpi6.exe -del service wopvqb
8o65rpi6.exe -del file "D:\WINDOWS\system32\ndvot.dll"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb"
8o65rpi6.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer

**RMP** · 06.05.2010, 12:40

После перезагрузки компьютера
Эти команды не выполнились т.к изменились пути.
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdyu\Pa rameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hpozdy u"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb\Par ameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\wopvqb "
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu\Parame ters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\hpozdyu"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb\Paramet ers"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\wopvqb"

После удаления "D:\WINDOWS\system32\ndvot.dll", он опять появился

**polword** · 06.05.2010, 12:49

- Сделайте новый лог Gmer

**RMP** · 06.05.2010, 13:55

Новые логи.

**polword** · 06.05.2010, 14:03

- Сохраните текст ниже как 1.bat в ту же папку, где находится 8o65rpi6.exe (GMER) и запустите этот батник(1.bat):

Код:

8o65rpi6.exe -del service pnrciwbi
8o65rpi6.exe -del service qijicx 
8o65rpi6.exe -del file "D:\WINDOWS\system32\ndvot.dll",
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx \Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx "
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx\Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx"
8o65rpi6.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer

**RMP** · 06.05.2010, 14:13

Когда Gmer запускает эти строки, выдает ошибку -"Не найдет указанный модуль"

8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciwbi\P arameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pnrciw bi"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx \Parameters"
8o65rpi6.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qijicx "
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx\Paramet ers"
8o65rpi6.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qijicx"

И вообще это борьба со следствием, а не с причиной!!!!

**polword** · 06.05.2010, 14:30

- Выполните скрипт в AVZ

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
 BC_ServiceKill('pnrciwbi');
 BC_ServiceKill('qijicx');
 BC_Activate;
 Rebootwindows(true);
end.

После перезагрузки:
- Сделайте лог virusinfo_syscheck.zip;

**thyrex** · 06.05.2010, 14:58

Результата не будет, пока не будет обновлена система

Если последний скрипт не поможет, сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**RMP** · 06.05.2010, 15:30

Лог

**RMP** · 06.05.2010, 15:34

Сообщение от thyrex

Результата не будет, пока не будет обновлена система

Если последний скрипт не поможет, сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

Я обновил все.
-поставил sp3
-обновил ие8

**thyrex** · 06.05.2010, 15:45

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('d:\docume~1\july\locals~1\temp\014.exe');
 TerminateProcessByName('d:\windows\jjdrive32.exe');
 TerminateProcessByName('d:\windows\system32\scdll.exe');
QuarantineFile('d:\docume~1\july\locals~1\temp\014.exe','');
 QuarantineFile('d:\windows\system32\scdll.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('D:\WINDOWS\jjdrive32.exe','');
 QuarantineFile('D:\RECYCLER\S-1-5-21-4151255191-5183613956-369927174-6534\playncr.exe','');
 DeleteFile('D:\RECYCLER\S-1-5-21-4151255191-5183613956-369927174-6534\playncr.exe');
 DeleteFile('D:\WINDOWS\jjdrive32.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('d:\windows\system32\scdll.exe');
 DeleteFile('d:\docume~1\july\locals~1\temp\014.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Update Setup');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

**RMP** · 06.05.2010, 17:07

Комбофикс я запустил, но консоль не ставил

**RMP** · 06.05.2010, 17:30

Свежие логи после комбофикса.

**RMP** · 06.05.2010, 17:34

НЕ ПОМОГЛО !!! сайты не запускаются

**thyrex** · 06.05.2010, 18:52

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
d:\windows\system32\UrUXNYb.exe
d:\windows\system32\t6YTwvZ.exe
d:\windows\system32\CTOxzct.exe
d:\windows\system32\LIg0dGg.exe
d:\windows\system32\GkZrslm.exe
d:\windows\system32\Gekn2oI.exe
d:\windows\system32\bcb3xWh.exe
d:\windows\system32\renKvxR.exe
d:\windows\system32\mcdvLv2.exe
d:\windows\system32\sb3KfrQ.exe
d:\windows\system32\xiIsrZF.exe
d:\windows\system32\6ezs26G.exe
d:\windows\system32\ndvot.dll
c:\files\REMOVED\BEST.exe

Driver::
wopvqb
hpozdyu
qijicx
pnrciwbi
msiaft

NetSvc::
wopvqb
hpozdyu
qijicx
pnrciwbi
msiaft

Folder::
c:\files

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8387:TCP"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{67KLN5J0-4OPM-01WE-AAX5-314CCA324242}]

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

**RMP** · 07.05.2010, 11:51

Новый лог

**RMP** · 07.05.2010, 13:16

что мне дальше делать?

***полетели стулья***

Не запускаются сайты антивирусов не обновляются антивирусы (заявка № 77405)

Опции темы

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Похожие темы

Не запускаются антивирусы, не открываются сайты антивирусов

Не запускаются антивирусы, и anvirtask manager, avz и тд. Не открываются поисковики и сайты антивирусов.

Не заходит на сайты антивирусов и не обновляются антивирусы

Не обновляются антивирусы, нет доступа к сайтам антивирусов. etc.

Антивирусы не обновляются, их сайты не открываются!

Ваши права в разделе