[Лог!] Вирус, блокирующий доступ к антивирусным серверам

[Воронцов]

Согласен в этом с вами!

[Kapral]

AVP Tools

с этого адреса качается ?

http://212.47.219.83/devbuilds/AVPTool/set....2009_12-53.exe

[Tanitta]

С этого качается уже http://212.47.219.83/devbuilds/AVPTool/set....2009_12-53.exe

 

С Вашей ссылки тоже, да, а она обновленная...

 

Сообщение от модератора wise-wistful

там была ссылка на рапиду

Изменено 11 февраля, 2009 пользователем wise-wistful

[Falcon]

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\M3PLUGIN.DLL','');
QuarantineFile('C:\WINDOWS\Installer\{AC76BA86-1050-0000-7760-000000000003}\_SC_Acrobat.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
DeleteFile('Explorer.exe csrcs.exe');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe');
DeleteFile('C:\Program Files\MyWebSearch\*.*');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\M3PLUGIN.DLL');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\F3SCRCTR.DLL');
DeleteDirectory('C:\Program Files\MyWebSearch');
DeleteService('MyWebSearchService');
BC_ImportALL;
BC_DeleteSvc('MyWebSearchService ');
BC_DeleteFile('C:\WINDOWS\system32\twext.exe ');
BC_DeleteFile('C:\WINDOWS\system32\csrcs.exe ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1).

О результате сообщите.

 

Затем пофиксите в HJT:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)

Логи повторите.

Изменено 11 февраля, 2009 пользователем Falcon

[Tanitta]

Я всё сделала. Архив quarantine переименовала в virus и запаролила, правильно сделала?

 

Когда "фиксила" в HJT, обнаружила, что F2 не существует...

 

Перезагрузила компьютер, проблема всё ещё есть.

Изменено 11 февраля, 2009 пользователем Tanitta

[Falcon]

Архив quarantine переименовала в virus и запаролила, правильно сделала?

Не совсем, нужно было установить пароль "virus", здесь написано, как это сделать: http://forum.kasperskyclub.ru/index.php?showtopic=7611

Когда "фиксила" в HJT, обнаружила, что F2 не существует...

Вполне возможно, сделайте новые логи.

[Tanitta]

Новые логи...

 

Я не забыла, просто они дольше делаются...

 

Мне кажется, я обнаружила в своих действиях ошибку...Дело в том, что AVZ сканировала только диск С, а у меня еще есть D и G...

В общем, сейчас повторю всё с ними...

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 11 февраля, 2009 пользователем Tanitta

[Falcon]

Tanitta

Ага, просто иногда забывают)

 

В AVZ:

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwssvc.exe');
DeleteFileMask('C:\PROGRA~1\MYWEBS~1\bar\3.bin\', '*.*', true);
DeleteService('MyWebSearchService');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_DeleteSvc('MyWebSearchService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пофиксить:

O9 - Extra button: Отправка в блог - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - shell32.dll (file missing)
O9 - Extra 'Tools' menuitem: &Отправка в блог Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - shell32.dll (file missing)

Сделайте логи еще раз.

Изменено 11 февраля, 2009 пользователем Falcon

[Tanitta]

Отсканировала все три жест диска

 

 

вот. после того, как повторила скрипты...

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Falcon]

Вроде все, пофиксите:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru

Проблемы наблюдаются?

Изменено 11 февраля, 2009 пользователем Falcon

[Autopsy]

>>А ключ лицензионный?

 

А пользователь обязан отчитываться по этому вопросу перед нами? Нет, и не стоит более спрашивать такие вопросы. Это в компетенции исключительно ЛК (black.lst).

Изменено 12 февраля, 2009 пользователем Autopsy

[Tanitta]

Проблемы наблюдаются?

 

К сожалению, да. Все то же самое...

Компьютер, конечно, стал меньше подвисать, и быстрее загружаться, за что вам отдельное спасибо.

[akoK]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

 

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

[Autopsy]

О Госади, реинстал ОС явно легче

[akoK]

Сложнее и дольше ОС переставить.