Словил вирусы,не открывается сайт drweb...

@sergani33 · Регистрация: 13.12.2010

Студворк — интернет-сервис помощи студентам

Приветствую,ситуция такая-перестал работать файрфокс,не открываются сайты антивирусников.Почистил cure it-ом,пару троянов он удалил,проблема осталась.Прога avz обновляться не хочет,нет доступа на этот сайт--- http://z-oleg.com/secur/avz_up/avzbase.zip---- (эксплоререго не может открыть).Переименовал avz.exe в Tanchik.com--не помагает(обновляться не хочет).К следующему этапу по выполнению скриптов переходить не стал.Смог сделать только логи этим -- RSIT--.Подскажите как быть дальше

@sergani33 · 13.12.2010, 03:39 **[ТС]**

Всё таки решил выполнить скрипты без обновления.

@zirreX · 13.12.2010, 13:38

Отключите:
Восстановление системы
Компьютер от интернета/локальной сети
Антивирус/Файерволл

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\E_SA.tmp','');
QuarantineFile('C:\cleansweep.exe\cleansweep.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Загрузки\pbsetup.zip','');
DeleteFile('C:\cleansweep.exe\cleansweep.exe');
DeleteFileMask('C:\cleansweep.exe\','*.*', true);
DeleteDirectory('C:\cleansweep.exe\');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\plugin');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','cleansweep.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Обновите базы в AVZ и повторите логи!
Повторите лог RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
Загрузить обновление MBAM.

@sergani33 · 14.12.2010, 01:57 **[ТС]**

Сайт доктора веба теперь открывается.Просканил mbam-ом,он нашёл 18 зараз,ничего удалять не стал,жду дальнейших ваших указаний

@zirreX · 14.12.2010, 02:41

Смените все пароли!

• Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

Code
1
Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

Удалите в MBAM

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Заражённые ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
 
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Value: UID -> No action taken.
 
Заражённые папки:
c:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
 
Заражённые файлы:
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
c:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.

Обновите Adobe Reader до последней версии.

Проблема решена?

@sergani33 · 14.12.2010, 10:41 **[ТС]**

сейчас доделаю всё и отпишусь.Пришёл отчёт из лабы каспера,вредоносного кода они там не нашли.А что за ерунду я подцепил,пароли воруют?

Добавлено через 7 часов 26 минут
ну др веб открывается,файрфокс ещё не пробовал ставить,сегодня ночью всё попробую и тогда отпишусь

@arbitr · 14.12.2010, 14:25

после включите Восстановление системы снова

@sergani33 · 15.12.2010, 01:42 **[ТС]**

Спасибо ребят Вам большое,всё пашет.Подскажите ещё-у меня в корзине сохранилась папка со старым профилем от файрфокса,можно её оттуда вытащить,не схвачу я заразы из неё?И по поводу восстановления системы,если я ещё вирусняк какой подхвачу,то можно будет просто откатить систему назад и не лечить комп?

@zirreX · 15.12.2010, 02:06

Сообщение от sergani33

А что за ерунду я подцепил,пароли воруют?

Среди некоторых присутствовал троян, перехватывающий нажатия всех клавиш (клавиатурный шпион), так что пароли смените обязательно.

Добавлено через 15 минут

Сообщение от sergani33

Подскажите ещё-у меня в корзине сохранилась папка со старым профилем от файрфокса,можно её оттуда вытащить,не схвачу я заразы из неё?

Ничего не подхватите.

Сообщение от sergani33

И по поводу восстановления системы,если я ещё вирусняк какой подхвачу,то можно будет просто откатить систему назад и не лечить комп?

В некоторых случаях да, но это не есть средство борьбы с вирусами.В большинстве случаев после отката системы на предыдущее состояние, вредоносные программы остаются.

Для резервного копирования рекомендую Acronis True Image Home.

@sergani33 · 15.12.2010, 02:37 **[ТС]**

А с помощью этой проги можно я так понимаю можно делать откат и ничего не лечить?
А пароли я копи пастом прописывал,тоже есть вероятность утечки?
Ещё раз Вам огромный респектище,благое дело делаете

@zirreX · 15.12.2010, 02:47

Сообщение от sergani33

А с помощью этой проги можно я так понимаю можно делать откат и ничего не лечить?

Подробно можете прочитать тут
Сам использую её второй год, очень удобно.

Сообщение от sergani33

А пароли я копи пастом прописывал,тоже есть вероятность утечки?

Всегда? Я бы не рисковал, лучше сменить.

Удачи!

@sergani33 · 15.12.2010, 04:01 **[ТС]**

Всё,Всем большущее спасибо

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@sergani33 0 / 0 / 0 Регистрация: 13.12.2010 Сообщений: 7
	14.12.2010, 10:41 [ТС]
	сейчас доделаю всё и отпишусь.Пришёл отчёт из лабы каспера,вредоносного кода они там не нашли.А что за ерунду я подцепил,пароли воруют? Добавлено через 7 часов 26 минут ну др веб открывается,файрфокс ещё не пробовал ставить,сегодня ночью всё попробую и тогда отпишусь 0

@arbitr 1073 / 368 / 4 Регистрация: 05.08.2010 Сообщений: 1,056
	14.12.2010, 14:25
	после включите Восстановление системы снова 1

@sergani33 0 / 0 / 0 Регистрация: 13.12.2010 Сообщений: 7
	15.12.2010, 01:42 [ТС]
	Спасибо ребят Вам большое,всё пашет.Подскажите ещё-у меня в корзине сохранилась папка со старым профилем от файрфокса,можно её оттуда вытащить,не схвачу я заразы из неё?И по поводу восстановления системы,если я ещё вирусняк какой подхвачу,то можно будет просто откатить систему назад и не лечить комп? 0

@sergani33 0 / 0 / 0 Регистрация: 13.12.2010 Сообщений: 7
	15.12.2010, 02:37 [ТС]
	А с помощью этой проги можно я так понимаю можно делать откат и ничего не лечить? А пароли я копи пастом прописывал,тоже есть вероятность утечки? Ещё раз Вам огромный респектище,благое дело делаете 0

@sergani33 0 / 0 / 0 Регистрация: 13.12.2010 Сообщений: 7
	15.12.2010, 04:01 [ТС]
	Всё,Всем большущее спасибо 0