Нет доступа к антивирусным сайтам

**vinlast** · 28.07.2010, 23:40

Нет доступа к главным антивирусным сайтам - Каспреский, Dr.Web, Virusinfo, другие сайты тоже открываются медленно. Раньше мне с этим вирусом помогал Sdfx, сейчас не помог , только удалил как всегда C:\WINDOWS.EXE - Deleted. Касперский нашел и удалил Win32.kido.ih (вроде), kidokiller ничего не нашел после, и Backdoor.Win32.Shiz.gen. Но ветки реестра с PersistenRoutes, все так же засирается ip адресами, и после их удаления, все равно сайты антивирусов недоступны.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Никита Соловьев** · 28.07.2010, 23:44

Логи сделаны старой версией AVZ. Скачайте актуальную и переделайте

**vinlast** · 29.07.2010, 00:20

вот

**Никита Соловьев** · 29.07.2010, 00:28

Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WINDOWS.0\system32\e320069d.exe,C:\WINDOWS.0\system32\agnyuc.exe,

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS.0\system32\e320069d.exe','');
 QuarantineFile('C:\WINDOWS.0\system32\agnyuc.exe','');
 QuarantineFile('C:\WINDOWS.0\System32\drivers\afd.sys','');
 DeleteFile('C:\WINDOWS.0\system32\agnyuc.exe');
 DeleteFile('C:\WINDOWS.0\system32\e320069d.exe');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteWizard('TSW',2 ,2 ,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+ Сделайте новые логи

**vinlast** · 29.07.2010, 13:51

_________

**vinlast** · 29.07.2010, 13:54

И новые логи, Сайты антивирусников сейчас доступны, и ваш тоже. ip адреса всё еще лежат в current control set`е

**Никита Соловьев** · 29.07.2010, 13:59

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\4f7fn48j.exe','');
 QuarantineFile('C:\WINDOWS.0\zip.exe','');
 QuarantineFile('C:\WINDOWS.0\SWXCACLS.exe',' ');
 QuarantineFile('C:\WINDOWS.0\sed.exe','');
 QuarantineFile('C:\WINDOWS.0\MBR.exe','');
 QuarantineFile('C:\WINDOWS.0\grep.exe','');
 QuarantineFile('C:\WINDOWS.0\BC5RMV.EXE','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip закачайте по ссылке прислать запрошенный карантин

**vinlast** · 29.07.2010, 14:10

Всё добавил, убрал из кода только строчку с 4f7fn48j.exe - это Cure It, который я положил в корень диска.

**Никита Соловьев** · 29.07.2010, 14:16

Все файлы в карантине чистые

Эти IP:

Код:

213.177.96.1, 213.177.97.1

?

**vinlast** · 29.07.2010, 14:20

Нет конечно. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes
Там осталась целая куча левых ip. Думаю можно их все удалить. И посмотреть не будут ли опять добавляться.

**Никита Соловьев** · 29.07.2010, 14:32

Попробуйте

**vinlast** · 29.07.2010, 14:46

Пока все чисто. Вероятно Вирус побежден.

**CyberHelper** · 30.07.2010, 14:46

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 9
В ходе лечения обнаружены вредоносные программы:
1. c:\windows.0\system32\agnyuc.exe - Trojan.Win32.Jorik.Shiz.ch ( DrWEB: Trojan.PWS.Ibank.60, BitDefender: Gen:Trojan.Heur.FU.gq0@aq1RyMai, AVAST4: Win32:Malware-gen )
2. c:\windows.0\system32\e320069d.exe - Trojan.Win32.Jorik.Shiz.cg ( DrWEB: Trojan.MulDrop.64715, BitDefender: Gen:Trojan.Heur.FU.cq0@a8l7wBdi, AVAST4: Win32:Malware-gen )

Нет доступа к антивирусным сайтам (заявка № 84061)

Опции темы