Не обновляется антивирус,не могу зайти на сайты антивирусных компаний

[Patrick]

Здравствуйте специалисты портала Virusinfo.info!
Поймал вирус,который блокирует сайты антивирусов не позволяет обновлять базы сигнатур действующего на моем ПК НОДа, не позволяет запустить программы AVPtool, GiJackThis, AVZ.

Хронология событий:
1)В определенный момент браузер(firefox) аварийно завершил свою работу(crash reporter).Запуск заново или же перезапуск приводил все к тому же crash reporter. Браузер запускался, при 5-6 быстрых нажатий на клавишу "enter" на ярлыке fireox.exe =).
2)Сайты антивирусов Касперского, НОДа,доктора Веба и ваш портал не открывались. cmd-ping ="Превышен интервал ожидания"для всех 4-ех пакетов для любого из вышеописанных сайтов антивирусных компаний. Остальные сайты в норме.
3)Не мог запустить свой антивирус(НОД) - в процессах диспетчера задач был только процесс ekrn.exe(а до данной проблемы было 3 процесса НОДа:ekrn.exe;EHttpSrv.exe и egui.exe.При попытке запустить НОД комп думал пару секунд(курсор в виде стрелочки с часиками) и ничего не происходило. При многоразовой попытке запустить НОД(аналогично попытке запуска firefox (см.пункт 1) ) значки НОДа в трее появлялись и сразу исчезали.Аналогично вел себя процесс egui.exe (процесса EHttpSrv.exe не было замечено).
4)Аналогично поведению НОДа в пункте 3, вели себя утилиты HiJackThis AVPtool и AVZ(открытие программ на доли секунды и их закрытие).
6)Запустился только cureit,который я скачал с ftp через cmd-nslookup {ip сайта}.
7)Все проверки cureit не дали результатов.
5)В безопасном режиме все вышеописанные пункты аналогичны.
6)Файл hosts чист как слеза младенца.
7)Ограничений правд доступа вроде нет. Regedit запускался и прочие служебные программы тоже.
Кидокиллер не нашел ничего необычного.
9)Зашел в system32 и при просмотре наткнулся на файл(совершенно случайно) с беспорядочным именем, в свойствах он именуется Bit Defender'ом (ярлык в виде кислотного зеленого квадрата с "помехами"как при настройки телевизора).
10)Удалил его и удалил из реестра userinit,на который он ссылался через поиск в regedit'e (в regedit'е строчкой выше был еще один userini с подозрительным именем и местом расположения: /system32/sr0xzt.exe(название файла примерное).
11)cmd-route -f - перезагрузка
Самое интересное началось тут
12)Повторно запустил cureit, который выдал мне два трояна типа "AWS" один из них был тот,который я удалил из папки и реестра,второй - тот самый подозрительный sr0xzt.exe. Перезагрузка.
13)Нормально открывается браузер,запускаются все вышеописанные утилиты,открываются все сайты антивирусов,кроме НОДа. Все 3 процесса НОДа в диспетчере задач отображаются.При попытке обновить базы сигнатур НОДа происходит следующее: Обновление - сообщение"Модули программы обновлены".Но базы сигнатур остаются прежними(раньше обновлялись именно базы и сообщений о модулях не было). На сайт НОДа меня не пускают.Из трея(панели задач)пропал значок НОДа.
14)Перед этой проблемой на ПК установил Mafia 2,предварительно проверив НОДом(данная игрушка устанавливалась на ПК коллег по работе и таких проблем у них не замечалось).
15)До аварийного завершения работы браузера и начала всех проблем запускалась эта игрушка и был открыт один ftp'ник локальной сети,откуда был скачан фильм.
16)По иронии судьбы,после всех вышеописанных действий(после пункта 13), был повторно открыт тот же ФТП и запущена та же Мафия 2.
17) И все по новой, разве что при попытке запустить браузер выскочило сообщение, мол нет прав доступа проверьте политику безопасности (далее при последующих запусках этого окна не было).
1Снова открыл папку System 32 где опять нашел файл см.пункт 9 и был второй,но уже с новым именем,отличным от sr0xzt.exe. Все проблемы повторились.
19)Вручную удалил эти два файла-вируса из папки system32 и из реестра;запустил AVPtool, который нашел мне несколько вирусов;cmd-route -f - перезагрузка.
20)Все сайты открываются,в том числе и НОДовские,но вот значок в трее не хочет выходить и базы сигнатур не хотят обновлятся,только модули.
Указания в правилах выполнил.Все необходимые файлы приложены.

Надеюсь на Вашу помощь. Заранее спасибо!

[Никита Соловьев]

Пофиксите в hijackthis:

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\47ycrxm.exe,\\?\globalroot\systemroot\system32\old85sb.exe,\\?\globalroot\systemroot\system32\xbhxerf.exe,c:\windows\system32\ae0050fb.exe,C:\WINDOWS\system32\6bb9fe90.exe,C:\WINDOWS\system32\zxoglw.exe,

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\zxoglw.exe','');
 QuarantineFile('C:\WINDOWS\system32\47ycrxm.exe','');
 QuarantineFile('C:\WINDOWS\system32\old85sb.exe','');
 QuarantineFile('C:\WINDOWS\system32\xbhxerf.exe','');
 QuarantineFile('c:\windows\system32\ae0050fb.exe','');
 QuarantineFile('C:\WINDOWS\system32\6bb9fe90.exe','');
 DeleteFile('C:\WINDOWS\system32\6bb9fe90.exe');
 DeleteFile('c:\windows\system32\ae0050fb.exe');
 DeleteFile('C:\WINDOWS\system32\xbhxerf.exe');
 DeleteFile('C:\WINDOWS\system32\old85sb.exe');
 DeleteFile('C:\WINDOWS\system32\47ycrxm.exe');
 DeleteFile('C:\WINDOWS\system32\zxoglw.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip загрузите по ссылке прислать запрошенный карантин.

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

и новые логи AVZ

[Patrick]

Добрый вечер!
Спасибо за работу над моей проблемой!
Высылаю файлы.
При попытке загрузить архив карантина выдает сообщение о уже совершенной загрузке
http://virusinfo.info/upload_virus.php

[Никита Соловьев]

Плохого не вижу. Что с проблемой?

[Patrick]

Добрый вечер! Думаю все в порядке.
На все сайты антивирусов пускает.
Полазил по форумам, прочитал,что НОД закрыли линейку 4.0 и она более не поддерживается (на работе стоит корпоративный НОД версии 4.0 и он тоже не обновляется)
Разве что в моем случае,вместо ошибки подключения к серверу и обновления сигнатур - обновляются аппаратные модули,но это уже не вирусная проблема,как я понимаю.
Значит все в норме.
Большое человеческое и пользовательское спасибо!