Нет доступа к google, youtube, "ответы" mail.ru

[ska4atfilm]

Пожалуйста, помогите решить следующую проблему! У меня пропала возможность использовать сервисы google (нет доступа к gmail, google maps, нет возможности пользоваться поисковиком google), youtube и «ответы» на mail.ru. При попытке перейти на страницы google.com, google.ru, «ответы» mail.ru выскакивает сообщение: «Во время загрузки страницы соединение с сервером было сброшено». В свою очередь, страница youtube загружается в каком-то очень странном виде, и посмотреть какое-либо видео не получается. Я не занимаюсь рассылкой спама, чужие компьютеры не ломаю, поэтому предположение о том, что меня забанил google считаю мало вероятным. Думаю, что все эти неприятности мне доставляет какой-то вирус, от которого (или его последствий) я никак не могу избавиться. Перепробовал разные браузеры (Opera, Firefox, Chrome, Explorer). Проблема везде одна и та же. В этой связи обращаюсь к вам за помощью!!!

У меня стоит ESET Smart Security 4.2.67 (базы регулярно обновляются). Полное сканирование системы указанную выше проблему не решило. Запуск AVPTool привёл к обнаружению нескольких HEUR: Trojan.Win32.Generic. AVZ тоже что-то нашёл, но проблема так и осталась. Пожалуйста подскажите метод лечения!

[Nikkollo]

Обновите базы AVZ.
Если базы не обновляются через меню Файл, скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

Сделайте логи AVZ заново и приложите.

[ska4atfilm]

Пожалуйста, вот логи!

...Программы, помещенные в карантин (exampls.exe, unspacer.exe, combJK.exe) - это программы собственного написания, необходимые мне для работы.

[Nikkollo]

Логи старые приложили.
Я имел в виду - после обновления баз, выполните пункты 1 и 2 раздела "Диагностика" правил:
http://virusinfo.info/pravila.html
и приложите снова virusinfo_syscheck.zip и virusinfo_syscure.zip.

[ska4atfilm]

Извините, я допустил невнимательность. Вместо новых логов отправил старые. Вот новые логи.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\hfxpcp.exe','');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\hfxp.exe','');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\hfxp.exe');
 DeleteFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\hfxpcp.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hfxp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог gmer

[ska4atfilm]

Сделать лог gmer не могу. Мой комп зависает, если запустить скаченный по указанной ссылке файл 3n1sulng.exe.


Добавлено через 57 минут

...интересно так же то, что у меня не получается зарегистрироваться в службе касперского- 911. После ввода е-mail приходится какое-то время ждать появления кнопочки "получить пароль"... после ее продавливания на указанный mail ничего не приходит. Отсутствие доступа к "ответы" на mail.ru и проблемы с регистрацией в службе 911, а так же зависание машины при запуске gmer наводит на мысль, что в моём компе точно что-то сидит.

Добавлено через 2 минуты

gmer скачивал и с других мест, но всё равно при его запуске машина виснет.

[polword]

- Выполните скрипт в AVZ

Код:

procedure WhatService(AServiceName : string);
  var
   dllname, servicekey : string;
  begin
   servicekey := 'SYSTEM\CurrentControlSet\Services\'+AServiceName;
   RegKeyResetSecurity( 'HKLM', servicekey);
   RegKeyResetSecurity( 'HKLM', servicekey+'\Parameters');
   AddToLog('Description: '+RegKeyStrParamRead( 'HKLM', servicekey, 'Description'));
   AddToLog('DisplayName: '+RegKeyStrParamRead( 'HKLM', servicekey, 'DisplayName'));
   AddToLog('ImagePath: '+RegKeyStrParamRead( 'HKLM', servicekey, 'ImagePath'));
   dllname := RegKeyStrParamRead( 'HKLM', servicekey+'\Parameters', 'ServiceDll');
   AddToLog('ServiceDll: '+dllname);
   QuarantineFile(dllname,'');
  end;
 begin
  WhatService('gpsweeqo');
  WhatService('vqoau');
  WhatService('weojhcb');
  SaveLog(GetAVZDirectory+'weojhcb.log');
  end.

- файл weojhcb.log прикрепите к сообщению

[ska4atfilm]

Скрипт выполнился правильно. Указанный фал weojhcb.log на своём компьютере найти не удалось (поиск по всем дискам ничего не обнаружил). После перезагрузки машины включился ESET с просьбой разрешить доступ к следующим приложениям: firefox, Generic Host Process for Win32 Services. Доступ я разрешил.

[Nikkollo]

Указанный фал weojhcb.log на своём компьютере найти не удалось (поиск по всем дискам ничего не обнаружил).

Он должен быть в папке AVZ.

[ska4atfilm]

Еще раз выполнил скрипт. Файл появился.

[Nikkollo]

Установите патчи, закрывающие уязвимости:
http://www.microsoft.com/rus/technet.../MS08-067.mspx
http://www.microsoft.com/rus/technet.../MS08-068.mspx
http://www.microsoft.com/rus/technet.../MS09-001.mspx
(на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).

Выполните скрипт в AVZ:

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then
     Result := Result or 8;
   end;
  end;
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_QrFile('C:\WINDOWS\system32\bxqvnx.dll');
 AddToLog(inttostr(BC_ServiceKill('gpsweeqo')) );
 AddToLog(inttostr(BC_ServiceKill('vqoau')) );
 AddToLog(inttostr(BC_ServiceKill('weojhcb')) );
 SaveLog(GetAVZDirectory+'avz_log.txt');
 BC_Activate;
 RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Файл avz_log.txt из папки AVZ приложите в теме.

[ska4atfilm]

Выполнил все инструкции. Вот файлы.

[Nikkollo]

Выполните скрипт в AVZ:

Код:

begin
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Повторите лог virusinfo_syscheck.zip и приложите в теме.

Что сейчас с проблемой?

[ska4atfilm]

Сейчас всё по старому (указанные сайты не грузятся).

[ska4atfilm]

После выполнения всех скриптов проблема не исчезла.

[ska4atfilm]

Установил на проблемный комп Ubuntu 10.10. Запустил Firefox. Все указанные выше сервисы работают. Нет, google меня не забанил Зашёл на касперский 911. Оказывается когда я под Windows, то на странице регистрации новых пользователей этой службы не отображается опция "подтверждение изображения", поэтому я не мог зарегистрироваться. Я склонен считать, что в моей машине точно что-то живёт (

...Я думаю стоит сказать о том, что я проверял содержимое файла hosts (он лежит вот здесь C:\WINDOWS\system32\drivers\etc). Кроме 127.0.0.1 localhost в нём ничего больше нет.

[polword]

- Сделайте лог MBAM

[ska4atfilm]

Итак, в настоящий момент, сервисы google, youtube, "ответы" на mail.ru заработали!!! Это произошло после следующих действий. На проблемной машине в папке drivers (C:\WINDOWS\system32\drivers) я удалил папку etc (в ней находилось 5 файлов один из которых hosts). После этого перенес в папку drivers папку etc, взятую с другой машины (на ней проблем с доступом к указанным ресурсам не было). Данное удаление/восстановление папки делал из соображений "на всякий случай". После этого google и .... на работоспособность не проверял, а сразу запустил MBAM. После завершения проверки подключил интернет и обнаружил, что всё заработало. Из-за чего именно (из-за действий с папкой ets или MBAM) проблеме пришел конец я не знаю. На всякий случай прикрепляю отчёты сканирования MBAM. Возможно, стоит как-то добить заразу!!! Буду рад советам.

...интересно то, что сейчас на странице регистрации новых пользователей службы 911 стала отображается опция "подтверждение изображения", а раньше она блокировалась в результате чего регистрация делалась не возможной . Я не специалист, но могу предположить, что зловредность написана русским человеком. Так как не думаю, что иностранец знает о сервисе "ответы" на mail.ru (где можно попросить разного совета).

[thyrex]

Лог в порядке