Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 33.

Вирус, блокирует сайты и антивирусы Помогите (заявка № 92086)

  1. #1
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49

    Thumbs up Вирус, блокирует сайты и антивирусы Помогите

    Вирус, блокирует некоторые сайты ( например 2ip.ru и некоторые антивирусные сайты) в папке C:\Program Files\Common Files\932913B3a лежит папка keys, также в папке comon files такой вот файл jqyrg4inedzz13m

    После удаления через некоторое время восстанавливаються, аваст вируса не видит, Авз, Комбофикс и Malwarebytes при открытии моментально закрываються, так же опытным путем установил, что закрываеться любое окно, которое в названии содержит фразу типо AVZ combofix и тому подобные, даже создавал пустой текстовый файл, называл его AVZ.txt, он тоже моментально закрывался при открытии, так же не открываються антивирусные сайты и темы на форумах где в названии встречаютсья эти слова таким образом, в условиях не запускания ни одной из известным мне антивирусных програм, даже не знаю что с этой заразой делать. Помогите

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    1. Переименуйте папку AVZ, задайте ей несмысловое имя типа X54S или распространенное типа Soft, Game и т.п.

    2. Переименуйте avz.exe в что-то типа test.exe, game.pif, program.com

    3. Запустите AVZ с ключом: avz.exe ag=y

  4. #3
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    Так авз запустился, уже хорошо, не могу прочитать правила, но как я понимаю сейчас нужно сделать стандартный скрипт - лечение/карантин и сбор информации для вирусинфо, сейчас делаю его

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Почему правила нет возможности прочитать? Если надо, я прикреплю их сюда в архиве.

  6. #5
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    На вирусинфо тоже не заходит, все проклятый виурс блокирует, я вообще удивлен, как у меня тут на форум не блокирован доступ

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Держите.
    Последний раз редактировалось olejah; 25.12.2010 в 10:02.

  8. #7
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    Так, не открываеться архив, никакой, пишет что нет прав для этого действия, авз выполнил стандартный скрипт и написал, что создал отчеты, но вот где они? У меня авз распакован в папку на рабочем столе, в ней отчетов нет куда они могли деться?

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Сделаем так - Пуск - Выполнить - regedit. В реестре найдите -

    ветка

    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    параметр

    Код:
    userinit
    Содержимое этого параметра напишите в своём сообщении.

  10. #9
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    Пуск- Выполнить ввожу regedit выскакивает ошибка: отказано в доступе к этому обьекту у вас нет прав хотя вроде вчера, уже после заражения вирусом, я мог и архивы открывать, может это работающий авз мне не дает зайти? потому что вчера все вроде работало и мне не выскакивало сообщения о том что нет прав

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Да, В программе АВЗ - AVZGuard - Выберите "Отключить AVZGuard" Попробуйте запустить regedit.

  12. #11
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    Сделал так :
    Модуль для поиска данных в реестре, Зайцев О.В., 2004., http://z-oleg.com/secur
    Запущен поиск ключей, содержащих образец "userinit"
    -- Поиск в HKEY_LOCAL_MACHINE --
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\fbbe97ac.exe,C:\WINDOWS\system32\abtacn.exe,C:\ WINDOWS\system32\fcd7dfa1.exe,C:\WINDOWS\system32\ wschgm.exe,C:\WINDOWS\system32\948e096b.exe,C:\WIN DOWS\system32\aoanyi.exe,C:\WINDOWS\system32\tlhnh yg.exe,C:\WINDOWS\system32\cxohjbk.exe,
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\E ventlog\Application\Userinit\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\E ventlog\Application\Userinit\EventMessageFile = %SystemRoot%\System32\userinit.exe
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\E ventlog\Application\Userinit\ =
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\E ventlog\Application\Userinit\EventMessageFile = %SystemRoot%\System32\userinit.exe
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application\Userinit\ =
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Eventlog\Application\Userinit\EventMessageFile = %SystemRoot%\System32\userinit.exe
    -- Поиск в HKEY_CURRENT_USER --
    -- Поиск в HKEY_CLASSES_ROOT --
    -- Поиск завершен --
    Просмотрено ключей: 472712

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Цитата Сообщение от settko Посмотреть сообщение
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\fbbe97ac.exe,C:\WINDOWS\system32\abtacn.exe,C:\ WINDOWS\system32\fcd7dfa1.exe,C:\WINDOWS\system32\ wschgm.exe,C:\WINDOWS\system32\948e096b.exe,C:\WIN DOWS\system32\aoanyi.exe,C:\WINDOWS\system32\tlhnh yg.exe,C:\WINDOWS\system32\cxohjbk.exe,
    Здесь надо исправить вид должен быть такой - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = C:\WINDOWS\system32\userinit.exe, (включая запятую) Все файлы, которые перечислены после запятой, нужно удалить.

  14. #13
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    В реестре есть еще usrint сразу после userinit дак у usrint параметр C/windows/system32/aoanyi.exe как я понимаю его тоже удалять?

    Добавлено через 3 минуты

    Есть еще парамтр 6cd6e916 со значением C:\WINDOWS\system32\cxohjbk.exe
    Последний раз редактировалось settko; 21.11.2010 в 19:18. Причина: Добавлено

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    usrint - вот этого самого параметра быть не должно, сносите.

  16. #15
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    Права на файлик cxohjbk.exe принадлежат какой то "g data software ag" что это? тоже вирус нет?)

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Это зловред. Меньше слов, больше действий. Исправьте наконец содержимое параметра и предоставьте логи по правилам.

  18. #17
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    В общем userint удалил, а userinit подправил, что делать с 6cd6e916 со значением C:\WINDOWS\system32\cxohjbk.exe не знаю, но в принципе, что дальше делать?

  19. #18
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Тоже сносить. После этого перезагрузитесь и попробуйте запустить АВЗ.

  20. #19
    Junior Member Репутация
    Регистрация
    20.11.2010
    Сообщений
    17
    Вес репутации
    49
    Сделал route -f, перезагрузился, и теперь могу заходить на вирусинфо, до route -f не мог, так же благодоря редактированию реестра запустился авз в обычном режиме, сейчас делаю логи по правилам.

  21. #20

  • Уважаемый(ая) settko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 57
      Последнее сообщение: 14.10.2010, 12:40
    2. Ответов: 3
      Последнее сообщение: 28.11.2009, 15:43
    3. Ответов: 7
      Последнее сообщение: 15.08.2009, 15:47
    4. Ответов: 1
      Последнее сообщение: 18.07.2009, 21:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01645 seconds with 19 queries