Не грузятся картинки у антивирусных сайтов. Не обновляются базы АВ.

[Baloven]

После вирусной атаки перестал работать интернет. Проблема была решена с использованием WinSockFix. Осталась только вот одна незадача. Не грузятся картинки у антивирусных сайтов, а именно дрвеб, нод32, Касперский, и Битдефендер. Не грузится Симантек вообще.
Может и другие, но я не проверял. В добавок не обновляется сам дрвеб. Сам антивирус переставлял - эффекта 0. Запускал саму дрвебовскую обновлялку (DrWebUpW.exe) вручную. Никакого результата, сама прграмма стартует и тут же мгновенно завершается. Это наглядно видно в ProcessExp'e. Запись в лог обновлялки не делается никакой.
Сам файл hosts в порядке.

Теперь про сам вирус, проинсталлировался из порносайта, запросив предварительно разрешения на установку FlashPlayer10. После перезагрузки Винды, вирус потребовал платной смски на короткий номер попутно заблокировав Винду. Вместо смски он получил удаление из активных процессов, чистку реестра и т.п. Теперь его нет, а проблема осталось.

Как исправить эту ошибку и где копать?
Из фаерволов стоит только "железный", который встроен в DSL-модем.

sfc /scannow отработало, но ошибка эта не исправилась.

Свежевытянутый avz не запускается даже в безопасном режиме.
HiJackThis отработала - лог прикладываю, хотя там ничего особенного.

Буду благодарен за помощь по восстановлению работоспособности системы...

[gjf]

Попробуйте пофиксить в HiJackThis:

Код:

F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [jsafesurf] E:\Documents and Settings\deem\safesurf\safesurf.exe

После этого перезагрузитесь и попробуйте сделать логи AVZ. Если не поможет:
1. Скачайте вот эту утилиту.
2. Загрузитесь и проведите сканирование с помощью LiveCD от DrWeb или Rescue Disc от Kaspersky Lab. Образ диска нужно скачать на здоровом компьютере, для Rescue Disc от Kaspersky Lab необходимо самостоятельно обновить базы, как описано здесь, после чего образ записать на чистый диск, а затем загрузиться с него на заражённой машине.
3. После сканирования находясь в системе, загруженной с LiveCD, выполните поиск и однозначно удалите следующие файлы:

Код:

siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
sdra64.exe (везде на диске С)
C:\WINDOWS\TEMP\ (удалить всё в этой папке)

Мы были бы благодарны Вам, если бы все эти файлы Вы запаковали в zip-архив с паролем virus и прислали в карантин согласно Правил (Приложение 3).. Но если по каким-то причинам Вам это сделать сложно - то просто удаляйте.
4. После этого запустите скаченный ADSSpy.exe.
4.1. Через кнопку с двумя точками выберите папку, в которой установлен Windows на компьютере.
4.2. Нажмите кнопку Scan the system for alternate data stream.
4.3. На появившейся строчке в списке щёлкните правой кнопкой мыши и нажмите View stream contents.
4.4. Нажмите кнопку Save to disk и сохраните файл с именем похожим на то, что написано внизу окна ADS Spy в строчке Viewing content of .....
4.5. После этого нажмите кнопку Back и для указанных выше двух потоков однозначно нажмите кнопку Remove selected streams, удалив зловредные потоки с машины. Внимание: удалять только те потоки, которые я указал!
4.6. Повторите процедуру начиная с пункта 3.3 для остальных строк в списке (если размер в скобках меньше 1000 байт их можно пропустить).
4.7. Запакуйте сохраненные файлы в zip-архив с паролем virus и пришлите в карантин согласно Правил (Приложение 3).
5. После этого попробуйте загрузить систему и получить полные логи по Правилам.

[Baloven]

1. Пофиксил указанные два ключа HiJackThis.
2. Перезагрузился - AVZ не работает.
3. Скачал Drweb live CD на другой машине, записал там же на болванку, перезагрузился на своей с ней же.
4. Drweb сканировал около 8 часов, понаходил кучу всего, но ничего по делу. Все ссылки вели на забытые архивы, которые раньше были чистыми, на папку "system restore" и на кэши браузеров.

Перегрузился в чистую OS winXP, которая стояла на другом диске, и уже оттуда:

5. Искал файлы...
Этих файлов не было
siszyd32.exe (везде на диске С)
av_md.exe (везде на диске С)
restorer64_a.exe (везде на диске С)
sdra64.exe (везде на диске С)
Папка Temp была пуста.

6. Скачал и запустил ADSSpy.exe, предварительно натравив его на нужную папку c:\Windows. Увы, ничего не нашлось.

7. По собственной инициативе, из под чистой OS проверил AVZ работает.
Сам файл avz.exe был переименованный заранее. Под этой не он уже не работает. Поэтому и логов нет.

PS: Восстановление системы было отключено изначально

[gjf]

Попробуйте запустить полиморфный AVZ MD5 сумма: 1FA7D4AD95B1C35B9EE77B096944E037 размер: 5 971 968 байт
Если запустится - делайте логи.

[Baloven]

Попробуйте запустить полиморфный AVZ MD5 сумма: 1FA7D4AD95B1C35B9EE77B096944E037 размер: 5 971 968 байт
Если запустится - делайте логи.

Не запускается.

[gjf]

Сделайте логи HiJackThis.

[Baloven]

пожалуйста...

[gjf]

Сделайте лог с помощью GMER.
gmer.log

[gjf]

В меню Пуск выберите "Выполнить..." и введите "cmd". В открывшемся окне введите следующую команду и нажмите Enter.

Код:

sfc /scannow

Может потребоваться дистрибутив Windows, с которого производилась установка системы.

После этого попробуйте ещё раз запустить Gmer.

[Baloven]

Gmer скачал, запустил, при сканировании диска E:, а именно на нем работает эта операционка которую надо вылечить.
ПРи сканировании диска E: выскакивает окошко, гласящее о том что через 60 секунд система будет выключена. Инициатор выключения служба NT Autority.
Если же в командной строке пробить shutdown -a, то сразу вылазит синий экран с 3-4 строками.

Пробовал запускать Gmer из под чистой операционной системы, и натравливать его на злополучный диск E:
Через некоторое время наблюдался всё тот же синий экран, только текта было почти на весь экран. Единственное слово которое я успел разглядеть это CORRUPT.

ЧТо дальше?

ЗЫ: Получилось сделать лог. Вот он.

[Baloven]

после отработанного sfc /scannow avz по прежнему не запускается.

[Baloven]

проблема осталась по прежнему...

[Baloven]

проблема осталась по прежнему...
Что уже бессилен коллективный разум из virus.info?

[gjf]

AVPTool запускается?

[Baloven]

Скачал АВПТоол, но на моей машине он так и не смог отработать. Он нашел вирус в файле типа s*.bak - удалял его, а этот файл появлялся опять, вот по этому адресу E:\Documents and Settings\deem\Local Settings\Temp\

Перезагрузился с чистой ОС, и снова запустил АВПТоол натравив его на диск E:
И он нашел!!! Зловред прятался в E:\Documents and Settings\deem\Application Data\Sun... в явовских файлах.

Вылечил успешно.
Лог не прикладываю, т.к. туда вошло только отчёт по диску С:, а прочее не вошло.

[gjf]

Сделайте повторный лог только согласно пункта 2 Правил (Диагностика)
virusinfo_syscheck.zip

[Baloven]

Вот лог...

[gjf]

Выполните скрипт:

Код:

Procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
end; 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
 QuarantineFile('C:\Bin\wolIT\wolIT.exe','');
 FixUpdate;
 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 BC_ImportAll;
ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки пришлите карантин по красной ссылки вверху этой темы.

[Baloven]

Закачал

[gjf]

Чисто. Что с проблемами?