Junior Member
Вес репутации
51
Не открываются сайты антивирусов
Здравствуйте! После запуска портейбл версии скачанной программы перестали открываться сайты антивирусов. Соответственно обновить базы avz не удалось. Скачанную программу перед запуском сканировал обновленным вебом- ничего не нашел. Но после ее запуска проверял тем же антивирусом и был найден троян с странным путем: \\?\globalroot\systemroot\system32\nlib ...... дальше имя файла не помню) Файл вируса веб удалил, но на сайты антивирусов так и не заходит. Смотрел файл хостс- ничего лишнего нет. Логи рилагаю.
Заранее спасибо!
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключить восстановление системы, защитное ПО.
Профиксить:
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\ctad6s7.exe,
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Vipaks\Domination\gsmlib.dll','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('\\?\globalroot\systemroot\system32\ctad6s7.exe','');
QuarantineFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe','');
DeleteFile('C:\Program Files\Common Files\SysAware Soft\svhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','shell');
DeleteFile('\\?\globalroot\systemroot\system32\ctad6s7.exe');
DeleteFile('F:\autorun.inf');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. Карантин загрузить по красной ссылке. БАЗЫ ОБНОВИТЬ и переделать логи.
+ к ARMA9000 , после выполнения скрипта скачайте такой avz и в нем выполните скрипт:
Код:
begin
ExecuteRepair(20);
RebootWindows(true);
end.
Пк перезагрузится. Потом в обычном avz обновите базы и сделайте логи
Junior Member
Вес репутации
51
Спасибо! Сайты грузиться начали! Обновления avz закачал на этом же компе без проблем. Карантин отправил. Новые логи прилагаю.
Junior Member
Вес репутации
51
Уважаемые хелперы! Что нибудь можно сказать о результативности лечения по новым логам или я чего то не прислал? Заранее спасибо!
Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
O2 - BHO: AcroIEHelperStub - Disabled:{18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: (no name) - Disabled:{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - Disabled:{AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - Disabled:{DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - Disabled:{E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)
Добавлено через 2 минуты
- Установите Internet-Explorer 8 .(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
Последний раз редактировалось polword; 01.06.2010 в 15:44 .
Причина: Добавлено
Junior Member
Вес репутации
51
Пофиксил, как написано. Эксплорер и обновы поставил. Еще раз провел диагностику. Выкладываю новые логи. Излечена зараза?
Вложения
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\dem\Application Data\netprotocol.exe','');
DeleteService('Netprotocol');
DeleteFile('C:\Documents and Settings\dem\Application Data\netprotocol.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
Junior Member
Вес репутации
51
Все сделал по описанию. Карантин отправил. 2 новых лога прикрепляю.
Remote Admin -сами ставили?
в остальном чисто
Junior Member
Вес репутации
51
Ну я вообще то по радмину его и лечил) А что с ним не так?
Спасибо большое за помощь!
Сообщение от
Lugaru
Н А что с ним не так?
раз с помощью него лечили - значит все в порядке
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
\\?\globalroot\systemroot\system32\ctad6s7.exe - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.Packed.20375, AVAST4: Win32:Rootkit-gen [Rtk] )