Показано с 1 по 18 из 18.

Антивирусы не работают, открываются сайты. (заявка № 86873)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27

    Антивирусы не работают, открываются сайты.

    Оставил комп подруге на лето. Теперь:
    При подключении к инету периодически произвольно открывается Интернет Эксплорер и переходит на различные сайты. После отключения, естественно, перестает.
    CureIT, AVZ виснут после начала сканирования, AVZ просто виснет, CureIT выбрасывает ошибку:"Исключение неизвестное программное исключение (0xe06d77363) в приложении по адресу 0x7c812aeb."
    HiJackThis после нажатия на кнопку "Do a system scan and save a logfile" выбрасывает окно с ошибкой:
    "An unexpected error has occured at procedure: modMain_CheckOther1Item()
    Error #70 - Permission denied" и варианты да - нет. При нажатии "нет" делает сканирование, пишет scan complete и моментально виснет.
    Работает только полиморфный AVZ.
    Пока пытался заниматься самолечением, нашел файлы pagefile.pif и autorun.inf в корне каждого диска. Удалить их не получается.
    Браузеры закрываются, если в гугле ввести "pagefile.pif"
    Последний раз редактировалось iaistalker; 31.08.2010 в 17:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Ссылки активные попрошу Вас убить.

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    Прошу прощения, убил.

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Закройте все программы
    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол
    - Системное восстановление

    Выполните скрипт в АВЗ -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     TerminateProcessByName('c:\windows\system32\com\lsass.exe');
     TerminateProcessByName('c:\windows\system32\com\smss.exe');
     QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\tawqkqrax.sys','');
     DeleteService('anwicartdldvamk');
     QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\lsuoq.sys','');
     DeleteService('hzfbhgx');
     QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\idelwjalgx.sys','');
     DeleteService('qompqjzkomqddgg');
     QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\rwgzpydvqraw.sys','');
     DeleteService('tiexvdbsiyx');
     QuarantineFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\xbhhuchkuiyuyj.sys','');
     DeleteService('xlxgkrgax');
     QuarantineFile('c:\windows\system32\com\lsass.exe','');
     QuarantineFile('c:\windows\system32\com\smss.exe','');
     QuarantineFile('C:\pagefile.pif','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('D:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\dnsq.dll','');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\pagefile.pif');
     BC_DeleteSvc('xlxgkrgax');
     DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\xbhhuchkuiyuyj.sys');
     BC_DeleteSvc('tiexvdbsiyx');
     DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\rwgzpydvqraw.sys');
     BC_DeleteSvc('qompqjzkomqddgg');
     DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\idelwjalgx.sys');
     BC_DeleteSvc('hzfbhgx');
     DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\lsuoq.sys');
     BC_DeleteSvc('anwicartdldvamk');
     DeleteFile('C:\DOCUME~1\-STALK~1\LOCALS~1\Temp\tawqkqrax.sys');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('c:\windows\system32\com\smss.exe');     
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - выполните такой скрипт

    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

    - Повторите логи

    Добавлено через 13 минут

    Ещё сделайте лог Гмер
    Последний раз редактировалось olejah; 31.08.2010 в 17:43. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    HiJackThis по прежнему выбрасывает ошибку, но лог сохранился.
    Сайты все так же открываются.

  7. #6
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    Гмер при запуске выбрасывает ошибку:

    Инструкция по адресу "0x0045c887" обратилась к памяти по адресу "0x00000008". Память не может быть "read"

  8. #7
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Проверьтесь так - http://support.kaspersky.ru/faq/?qid=208636926

    - Лог приложите сюда
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

  9. #8
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    сделал

  10. #9
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Для этого
    obvious (2933b487f71928034eb5a9c300172996) C:\WINDOWS\system32\DRIVERS\obvious.sys
    2010/08/31 18:14:06.0781 C:\WINDOWS\system32\DRIVERS\obvious.sys - quarantined
    2010/08/31 18:14:06.0781 Заблокированный сервис(obvious) - User select action: Quarantine
    нужно выбрать действие удалить, потом перезагрузиться, повторить лог и приложить сюда

  11. #10
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    вот

  12. #11
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Выполните скрипт в АВЗ -

    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Session Manager', 'PendingFileRenameOperations');
     DeleteFile('c:\windows\system32\com\lsass.exe');
     DeleteFile('c:\windows\system32\com\smss.exe');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.dll');
     DeleteFile('C:\WINDOWS\system32\com\netcfg.000');
     DeleteFile('C:\WINDOWS\system32\dnsq.dll');
     DeleteFile('C:\pagefile.pif');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\NetApi000.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\alg.exe');
     DeleteFile('C:\037589.log');
     DeleteFile('C:\WINDOWS\system32\AntiTool.exe');
     DeleteFileMask('c:\', 'lsass.exe.*', false);
     DeleteFileMask('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\', '*.exe', false);
    BC_ImportALL;
    ExecuteSysClean;
    BC_LogFile(GetAVZDirectory + 'boot_clr.log');
    BC_Activate;
    ExecuteRepair(6);
    RebootWindows(true);
    end.
    - Файл boot_clr.log из папки с АВЗ прикрепите к следующему сообщению

    - Повторите логи АВЗ

  13. #12
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    вот, файл и логи

  14. #13
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Да, тяжёлый червяк.

    Выполните скрипт в АВЗ в безопасном режиме -

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\Documents and Settings\-stalker-\ctfmon.exe');
     DeleteFile('C:\Documents and Settings\-stalker-\Application Data\lwtwfl.exe');
     DeleteFile('D:\pagefile.pif');
     DeleteFile('D:\autorun.inf');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\pagefile.pif');        
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW',2,2,true);
     BC_Activate;
     RebootWindows(true);
    end.
    - Повторите лог virusinfo_syscheck.zip

  15. #14
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    в безопасный режим не заходит, перезагружается после загрузки файла vax347b.sys
    в обычном режиме файлы не удаляются :/

    Добавлено через 2 часа 59 минут

    Проблема решена.
    После кучи перебранного софта помог онлайновый HouseCall от Trend Micro. Причем он убил сразу и все и пофиксил тоже сразу все.
    Спасибо за потраченное вами время, Олег.
    Последний раз редактировалось iaistalker; 31.08.2010 в 23:56. Причина: Добавлено

  16. #15
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Удивительно, а я уже голову ломал чем бы его ещё бить.

  17. #16
    Junior Member Репутация
    Регистрация
    31.08.2010
    Сообщений
    9
    Вес репутации
    27
    После чистки Хаус Коллом поставил нод Смарт секьюрити и пошел спать. Утром все лагало, нод ничего не видит, Тренд не запускается, программа анлокер (ей до этого удалил dnsq.dll, хоть это и не помогло) тоже.
    Короче все заново. подключил винт к компу друга, в безопасном прогнал нодом. Убил кучу всего - легла система.
    Переустановил систему, поставил только драйвера, начал ставить приложения - снова полезли сайты.
    pagefile.pif, autorun.inf, dnsq.dll на месте.
    С винта поставил только квип и тотал коммандер, остальное скачивал свежее.
    Я так понимаю, что вирь сидит в одном из них, либо в самом дистрибутиве, так?
    Ведь чтобы активироваться, ему нужен запуск?

    Добавлено через 30 минут

    Еще раз переустановил систему, отформатировал диск С. После установки даже не стал заходить в обычный режим, просто нажал ресет и зашел в безопасный.
    запустил АВЗ. Все вири на местах.
    C:\pagefile.pif
    D:\pagefile.pif
    C:\autorun.inf
    D:\autorun.inf
    C:\windows\system32\dnsq.dll
    C:\windows\system32\com\smss.exe
    C:\windows\system32\com\lsass.exe
    C:\windows\system32\com\netcfg.dll
    C:\windows\system32\com\netcfg.000

    Снова установил Unlocker, поудалял эти файлы. dnsq.dll продолжала восстанавливаться каждые минут пять. Почистил реестр. Перестала восстанавливаться. АВЗ теперь не находит ничего, ХайДжек тоже, ХоумКолл еще на глубоком сканировании и пробудет там часа полтора.
    Интересно, что будет после перезагрузки
    Последний раз редактировалось iaistalker; 01.09.2010 в 13:47. Причина: Добавлено

  18. #17
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,402
    Вес репутации
    1267
    Если что - пишите, попрошу помощи у коллег, червяк этот гадкий.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\autorun.inf - Worm.Win32.AutoRun.dck ( DrWEB: Win32.HLLW.Autoruner.868, BitDefender: Trojan.Harnig.WA, NOD32: INF/Autorun worm, AVAST4: INF:AutoRun-R [Wrm] )
      2. c:\\pagefile.pif - Virus.Win32.Xorer.el ( DrWEB: Win32.HLLP.Rox.12, BitDefender: Worm.Generic.74301, NOD32: Win32/Xorer virus, AVAST4: Win32:Xorer-T [Trj] )
      3. c:\\windows\\system32\\com\\lsass.exe - Virus.Win32.Xorer.el ( DrWEB: Win32.HLLP.Rox.12, BitDefender: Worm.Generic.74301, NOD32: Win32/Xorer virus, AVAST4: Win32:Xorer-T [Trj] )
      4. c:\\windows\\system32\\com\\smss.exe - Virus.Win32.Xorer.dt ( DrWEB: Win32.HLLP.Rox, BitDefender: Trojan.Generic.7465850, NOD32: Win32/Xorer.DR virus, AVAST4: Win32:Xorer-I )
      5. c:\\windows\\system32\\dnsq.dll - Virus.Win32.Xorer.ee ( DrWEB: Win32.HLLP.Rox, BitDefender: Win32.Xorer.ED, NOD32: Win32/Xorer.NAD virus, AVAST4: Win32:Agent-ABCY [Trj] )
      6. d:\\autorun.inf - Worm.Win32.AutoRun.dck ( DrWEB: Win32.HLLW.Autoruner.868, BitDefender: Trojan.Harnig.WA, NOD32: INF/Autorun worm, AVAST4: INF:AutoRun-R [Wrm] )


  • Уважаемый(ая) iaistalker, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 05.03.2012, 20:00
    2. Ответов: 7
      Последнее сообщение: 17.10.2010, 22:14
    3. Ответов: 6
      Последнее сообщение: 15.10.2010, 23:42
    4. Ответов: 1
      Последнее сообщение: 28.01.2010, 16:07
    5. Ответов: 5
      Последнее сообщение: 23.01.2010, 22:59

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00913 seconds with 16 queries