Не заходит на сайты антивирусов не стандартная ситуация

@voron55 · Регистрация: 05.04.2011

Author24 — интернет-сервис помощи студентам

нод не обновляется,не заходит на сайты антивирусов, Curiet ничего не находит при полной проверке, AVZ открывается с пятого раза(все меню в цифрах не понятно где что),Hijack при запуске все слетает и его сворачивает и закрывает, с 10 раза открыл GMER сделал лог выкладываю.
Если не сложно помогите.
Заранее благодарен

@zirreX · 05.04.2011, 13:32

Воспользуйтесь рекомендациями из темы Что делать если AVZ не запускается?

Попробуйте сделать логи полиморфным AVZ

@voron55 · 05.04.2011, 14:06 **[ТС]**

При переходе по ссылке окна браузера закрываются(приходится открывать заново) (что делать если AVZ...)
Подозрение что он режет все где возникает название антивирусов
При запуске AVZ, загружается и сразу закрывается и рабочий стол перезагружается (полиморфный)

@voron55 · 05.04.2011, 14:21 **[ТС]**

Сообщение от zirreX

Воспользуйтесь рекомендациями из темы Что делать если AVZ не запускается?

Попробуйте сделать логи полиморфным AVZ

Кое-как запустил AVZ (пришлось раз двадцать запустить подряд и один запуск проскочил)

Он ничего не нашел
отчет выкладываю

@~~Katharsis~~ · 05.04.2011, 14:43

выложите логи из папки LOG: virusinfo_syscure.zip и virusinfo_syscheck.zip.

@voron55 · 05.04.2011, 15:03 **[ТС]**

Сообщение от Katharsis

выложите логи из папки LOG: virusinfo_syscure.zip и virusinfo_syscheck.zip.

пришлось перезагрузить компьютер
выкладываю

@voron55 · 05.04.2011, 15:22 **[ТС]**

Сообщение от voron55

пришлось перезагрузить компьютер
выкладываю

после перезагрузки не могу зайти в AVZ и папка лог пропала
смог загрузить только virusinfo_syscheck.zip

@~~Katharsis~~ · 05.04.2011, 15:45

1.Для удаления Gmer cкачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\windows\AppPatch\tqzzlwy.dat','');
 QuarantineFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\axtdypog.sys','');
 DeleteFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif');
 DeleteFile('C:\windows\AppPatch\tqzzlwy.dat');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Проверьте на virustotal.com:

C:\DOCUME~1\sergey\LOCALS~1\Temp\axtdypog.sys
c:\windows\system32\winlogon.exe

ссылки на результат запостите здесь

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. обновите adobe reader

6. Обновите базы AVZ и повторите логи. Подготовьте также логи RSIT.

@voron55 · 05.04.2011, 16:48 **[ТС]**

Сообщение от Katharsis

1.Для удаления Gmer cкачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\windows\AppPatch\tqzzlwy.dat','');
 QuarantineFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\axtdypog.sys','');
 DeleteFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif');
 DeleteFile('C:\windows\AppPatch\tqzzlwy.dat');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Проверьте на virustotal.com:

ссылки на результат запостите здесь

4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. обновите adobe reader

6. Обновите базы AVZ и повторите логи. Подготовьте также логи RSIT.

по 3.пункту http://www.virustotal.com/file... 1301420314

второй файл найти не могу не в ручную ни поиском

@~~Katharsis~~ · 05.04.2011, 17:33

voron55, не нужно вставлять такие большие цитаты.

Сообщение от voron55

второй файл найти не могу не в ручную ни поиском

Вероятно, это был драйвер Gmer`a

Установочный диск с windows у вас есть? Приготовьте.

@voron55 · 05.04.2011, 17:39 **[ТС]**

архив quarantin.zip пуст

по пункту 4 отчет выкладываю

@voron55 · 05.04.2011, 17:42 **[ТС]**

Все работает спасибо за помощь.

@~~Katharsis~~ · 05.04.2011, 18:05

в mbam удалите:

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\documents and settings\sergey\application data\winxrar (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\documents and settings\администратор\doctorweb\quarantine\king of the hill.exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\администратор\doctorweb\quarantine\A0001066.exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\sview (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\sergey\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.

лог повторите.

остальные инструкции также выполните, т к не факт что проблема не вернется.

@voron55 0 / 0 / 0 Регистрация: 05.04.2011 Сообщений: 8
	05.04.2011, 17:42 [ТС]	12
	Все работает спасибо за помощь. 0

@zirreX 392 / 306 / 5 Регистрация: 02.06.2010 Сообщений: 816
	05.04.2011, 13:32	2
	Воспользуйтесь рекомендациями из темы Что делать если AVZ не запускается? Попробуйте сделать логи полиморфным AVZ 0

@voron55 0 / 0 / 0 Регистрация: 05.04.2011 Сообщений: 8
	05.04.2011, 14:06 [ТС]	3
	При переходе по ссылке окна браузера закрываются(приходится открывать заново) (что делать если AVZ...) Подозрение что он режет все где возникает название антивирусов При запуске AVZ, загружается и сразу закрывается и рабочий стол перезагружается (полиморфный) 0

@~~Katharsis~~ Заблокирован
	05.04.2011, 14:43	5
	выложите логи из папки LOG: virusinfo_syscure.zip и virusinfo_syscheck.zip. 0

@voron55 0 / 0 / 0 Регистрация: 05.04.2011 Сообщений: 8
	05.04.2011, 15:22 [ТС]	7
	Сообщение от voron55 пришлось перезагрузить компьютер выкладываю после перезагрузки не могу зайти в AVZ и папка лог пропала смог загрузить только virusinfo_syscheck.zip 0

@~~Katharsis~~ Заблокирован
	05.04.2011, 15:45	8
	1.Для удаления Gmer cкачайте OTCleanIt или с зеркала, запустите, нажмите Clean up 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\windows\AppPatch\tqzzlwy.dat',''); QuarantineFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\axtdypog.sys',''); DeleteFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif'); DeleteFile('C:\windows\AppPatch\tqzzlwy.dat'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. 3. Проверьте на virustotal.com: C:\DOCUME~1\sergey\LOCALS~1\Temp\axtdypog.sys c:\windows\system32\winlogon.exe ссылки на результат запостите здесь 4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 5. обновите adobe reader 6. Обновите базы AVZ и повторите логи. Подготовьте также логи RSIT. 1

@voron55 0 / 0 / 0 Регистрация: 05.04.2011 Сообщений: 8
	05.04.2011, 16:48 [ТС]	9
	Сообщение от Katharsis 1.Для удаления Gmer cкачайте OTCleanIt или с зеркала, запустите, нажмите Clean up 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\windows\AppPatch\tqzzlwy.dat',''); QuarantineFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\sergey\LOCALS~1\Temp\axtdypog.sys',''); DeleteFile('c:\documents and settings\sergey\Мои документы\downloads\svchost.pif'); DeleteFile('C:\windows\AppPatch\tqzzlwy.dat'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме. 3. Проверьте на virustotal.com: ссылки на результат запостите здесь 4.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 5. обновите adobe reader 6. Обновите базы AVZ и повторите логи. Подготовьте также логи RSIT. по 3.пункту http://www.virustotal.com/file... 1301420314 второй файл найти не могу не в ручную ни поиском 0

@~~Katharsis~~ Заблокирован
	05.04.2011, 17:33	10
	voron55, не нужно вставлять такие большие цитаты. Сообщение от voron55 второй файл найти не могу не в ручную ни поиском Вероятно, это был драйвер Gmer`a Установочный диск с windows у вас есть? Приготовьте. 0

@~~Katharsis~~ Заблокирован
	05.04.2011, 18:05	13
	в mbam удалите: Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken. Заражённые папки: c:\documents and settings\sergey\application data\winxrar (Trojan.Agent) -> No action taken. Заражённые файлы: c:\documents and settings\администратор\doctorweb\quarantine\king of the hill.exe (Spyware.Passwords) -> No action taken. c:\documents and settings\администратор\doctorweb\quarantine\A0001066.exe (Spyware.Passwords) -> No action taken. c:\documents and settings\sergey\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\after.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\dir.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\logo.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\sview (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken. c:\documents and settings\sergey\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken. лог повторите. остальные инструкции также выполните, т к не факт что проблема не вернется. 0

Опции темы