Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.55/77: Рейтинг темы: голосов - 77, средняя оценка - 4.55
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
1

вирус Adguard! Как лечить?

14.02.2012, 01:07. Показов 14167. Ответов 40
Метки нет (Все метки)

Здравствуйте, по ошибке (или глупости, что вернее) установил на Windows 7 прогу Adguard. При установке комп завис и при перезагрузке сеть благополучно отвалилась. Откопал инфу про этот гуард, все точно, троян. Теперь нет сети, нет интернета и т.д. Нашел лечение для XP методом ручной чистки реестра, но для W7 - нет. Также для XP есть winsockxpfix.exe, восстанавливающая сетевые протоколы, но, опять-же, для 7 - нет.
Сейчас проверяю AVZтом, не знаю...Помогите справиться с врагом! Спасибо!
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
14.02.2012, 01:07
Ответы с готовыми решениями:

Вирус speed2, как это лечить?
Приветсвтую хелперов которые будут вытаскивать мою систему, файлы прикрепил. Симптомы: в браузере...

Мэил.Вулкан.Гарена. Вирус как лечить?
Привет! Прошу помочь с вирусом. 1. При поиске в Яндекс автоматически перенаправляет на...

Рекламный вирус – удаляется Adblock (AdGuard и т.п.)
Здравствуйте! На днях скачал какой-то архив, а с ним... Amigo, флеш-игра, мэйловские штуки. В...

пробовала лечить вирус
Здравствуйте. Опишу мою ситуацию, надеюсь на вашу помощь! Вирус у меня был, который блокирует...

40
Почетный модератор
14000 / 3617 / 87
Регистрация: 11.06.2009
Сообщений: 11,787
14.02.2012, 01:12 2
Pols, а у меня стоит Adguard ( правда на ХР) и все работает. Вы его откуда брали ?
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
14.02.2012, 10:15  [ТС] 3
Almiqui, точно уже и не вспомню где. Но есть информация, что Адгуард поражает не все ОС, на некоторых он, действительно, работает антибаннером.
Посмотрите, пожалуйста, на
это
adGuard - фриварная баннерорезка , активно рекламируемая в Сети.
Даже НЕ ПРОБУЙТЕ ! Это натуральный троян , причём , маскирующийся не хуже
самых маститых рукитов . Большинством антивирей не определяется (за редким
исключением , вроде COMODO-вского с его параноидальной эвристикой ). Прекрасно
"договаривается" с самыми маститыми файерами , не говоря уж о виндовском бранде.

Что творит adGuard.

Изначально, в 10-15 протоколах TCP/IP подменяет штатную библиотеку mswsock.dll
на собственную adguarg.dll , начиная фактически провайдерствовать в Системе
параллельно "мелкомягким". Внешне это малозаметно : может немного подрастает
исходящий сетевой траф., чуток подтормаживает Инет , но выглядит всё благопристойно.
Самое интересное начинается при попытке деинсталяции : прога совершает последний массированный скачок в Сеть ,сливая хозяевам последнее недослитое (мой Outpost от
подобной наглости аж зашёлся) ,и благополучно (для себя) покидает комп , оставляя
испорченные протоколы TCP/IP и своего уже призрачного резидента в автозагрузе .
В итоге - полностью клинит Сеть и блокируется выход в Инет.

Как с этим бороться.

Рекомендую ещё ДО ДЕИНСТАЛЯЦИИ adGuard скачать программульку winsockxpfix.exe -
способную восстановить сетевые протоколы (они входят в ядро ОС-и и без сноса Системы поправить их можно , но непросто ). Я обошёлся без неё (неохота было вновь
колдовать с настройками), но на всяк случай иметь полезно .В 9 из 10 случаев способна
реанимировать Сеть. Можно сбросить настройки TCP/IP вручную через NetShell (через командную строку "netsh int ip reset resetlog.txt").Всё это может сработать , но без гарантий...
Я пошёл другим путём , в общем стандартным для борьбы с последствиями от подобных
вирусов:
1. Лезем в реестр , находим 3 ветки :
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries
HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Services/WinSock2/Parameters/Protocol_catalog9/Catalog_entries

Здесь мы увидим множество разделов с именами 0000000000001 000000000002 и т.д.
до 000...25.
В каждом из этих разделов есть параметр PackedCatalogItem
Вот он то нас и интересует. Открываем.
Появляется окно "Редактирования двоичного параметра"
В самом начале содержимого должна быть примерно такая строка
%SystemRoot%\system32\mswsock.dll
Это путь к необходимой для данного поставщика услуг библиотеке
Поскольку у нас здесь поработал вирус, он заменил кое что, и мы видим вместо mswsock.dll - adguard.dll .Но троян попортил не все разделы.
Копируем содержимое уцелевшего раздела в испорченный (в каждый испорченный ,
в каждой из трёх веток).Удобно пользовать что-то вроде Registrar , но вполне можно
обойтись и штатным редактором реестра.Посчитайте сколько порченых разделов поправили - потом пригодится.

2.Лезем в автозагруз (удобно через Autorans - но кому как) и прибиваем "привидение"
adguard. Перезагруз.

Всё - Сеть худо-бедно восстановлена ! Определяемся - насколько "худо".

3.(Полезно - но необязательно) Запускаем AVZ (антивирь Зайцева).Сканировать систему
не надо ! Лезем в "Сервис - Менеджер Winsock - Поиск ошибок" .Получаем , что из 25
протоколов неработоспособно 10-15.Сравниваем с количеством "исправленных" нами в
реестре - число должно совпасть , иначе возвращаемся к п.1 и перепроверяем ещё раз.
По сути мы не исправили "вирусопопорченные" протоколы , а лишь заблокировали их ,
чтоб только загрузить Инет .Сеть реанимирована , но она "хромая".Поэтому идём далее.

4. Отрубаем себе сеть ! (Выключаем модем) .Запускаем "Ишака" - лучше последнего -IE8
и тупо ломимся на любой сайт , на тот же "Гугл" .Соединения ,естественно, не происходит
, жмём на "Диагностику" сетевого соединения .И Винда немного попинговав выдаёт инфу
об ошибках в Протоколах , предлагая всё исправить , сбросом в Default . Соглашаемся.
Затем соглашаемся на перезагруз.
Вуаля- Сеть полноценно реанимирована , НАСТРОЙКИ СОХРАНЕНЫ . Последнее важно
для сидящих на безлимитке ADSL в "бридже" - иначе им пришлось бы самостоятельно
настраивать модем (а не только "Сетевое подключение") - а такое не всем под силу.

И ещё .Манипуляции через "Свойства сетевого соединения - Исправить" , а не через
браузер неэффективны .Проверено.Так что п.4 - это отнюдь не через "попу".
И уж если пп.1-4 не помогут (маловероятно , но - вдруг) , тогда пользуйте проги ,
упомянутые в самом начале.Но вероятна потеря настроек.Кому последнее неважно ,
так может и лучше сразу через них.
В конце можно опять запустить AVZ и убедиться :
"Настройки LSP проверены. Ошибок не обнаружено"
с одного из форумов
сражение для XP.
Пробовал так-же чистить реестр, но у меня на W7 в реестре, в месте, указанном в инфе при переходе по ссылке, не видно, ЧТО именно заменил Адгуард, там, помимо нормального текста, типа Sistem32/...какая-то тарабарщина в виде знаков вопроса, знаков доллара и точек. Вообщем не понятно, ЧТО именно удалять и что на что менять. И Зайцев написал, что есть проблемы в WinSock и возможно отсутствие интернета. Собственно, он прав, к сожалению.
Almiqui, что мне делать?
0
Вирусоборец
318 / 120 / 2
Регистрация: 15.07.2011
Сообщений: 293
14.02.2012, 11:07 4
Сделайте логи по правилам, посмотрим...
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
14.02.2012, 11:27  [ТС] 5
Ого, вот это залипуха! Хорошо, Techno, приеду домой - буду думать.
У вас это стандартный алгоритм против вирей или целенаправленно против Адгуарда?
Хотя, какая разница, по результатам отпишусь.
Спасибо.
0
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
17.02.2012, 21:45  [ТС] 6
Собственно сделал логи, создал новую тему, как было указано в инструкции.
Буду ждать дальнейших указаний.
Спасибо!
0
Вложения
Тип файла: txt info.txt (19.6 Кб, 29 просмотров)
Тип файла: zip virusinfo_syscheck.zip (47.1 Кб, 23 просмотров)
Тип файла: zip virusinfo_syscure.zip (54.9 Кб, 13 просмотров)
Тип файла: rar log.rar (8.0 Кб, 15 просмотров)
Заблокирован
18.02.2012, 01:01 7
1. NOD32 или avast - оставьте что то одно.

2.
Цитата Сообщение от Pols Посмотреть сообщение
Теперь нет сети, нет интернета и т.д Нашел лечение для XP методом ручной чистки реестра, но для W7 - нет. Также для XP есть winsockxpfix.exe, восстанавливающая сетевые протоколы, но, опять-же, для 7 - нет.
В свойствах сетевого подключения нажмите "диагностика". Модуль устранения неполадок укажет на причину, если не сможет исправить.

3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
20.02.2012, 19:44  [ТС] 8
Ок, Katharsis, лог прикрепил, жду комментарии..
0
Вложения
Тип файла: txt mbam-log-2012-02-20 (19-10-57).txt (9.7 Кб, 30 просмотров)
Заблокирован
20.02.2012, 19:48 9
это удалите.
Объекты реестра обнаружены: 8
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
Модуль устранения неполадок сети что нибудь обнаружил?
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
20.02.2012, 20:37  [ТС] 10
а, да, забыл прикрепить..вот итог модуля.
и только что удалил бяки, о которых предыдущий пост, что дальше?
0
Миниатюры
вирус Adguard! Как лечить?  
Заблокирован
20.02.2012, 20:42 11
для начала в откройте диспетчер устройств и удалите сетевой адаптер, которым вы подключаетесь к сети, перезагрузитесь, попробуйте подключиться.
если не получится - отпишитесь
0
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
21.02.2012, 09:12  [ТС] 12
сделал. там три штуки было: два Realtek и TP-Link.
удалил, перезагруз, они восстановились - сетки нет(
0
Заблокирован
21.02.2012, 10:19 13
TP-Link это wifi? Как к сети подключаетесь? В безопасном режиме появляется сеть? Интернет не работает вообще, или нет соединения только в браузерах, а такие программы как скайп, mail агент, icq работают?

1. Для начала очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать "Инструменты" из меню на верхней панели, выбрать "Параметры Интернета" (последняя опция в списке).
находим кнопку "Удалить файлы". Щелкните по этой кнопке, затем отметьте "Удалить содержимое", затем нажимаем "Готово". Когда операция будет закончена, щелкните "Готово" и закройте окно панели управления.

Opera
Откройте браузер, выберите "Инструменты" из меню на верхней панели и наведите курсор на "Предпочтения", щелкните по опции "История и кэш память" нажмите "Очистить немедленно", по окончании операции щелкните "Готово" и закройте окно браузера.

Firefox
откройте окно браузера Firefox и щелкните "Инструменты" - "Опции", щелкните на иконке "Конфиденциальность". нажмите кнопку "Очистить", щелкните "Готово" и закройте окно браузера.

Google Chrome
Значок "Гаечный ключ" - "Инструменты" - "Удаление данных о просмотренных страницах"

2. Если не работают только браузеры:
В настройках браузеров найдите опцию "подключение через прокси сервер" (формулировка не точная) проверьте, не стоит ли отметка, включающая такое подключение.

3. пуск - выполнить - cmd (одна строка - одна команда, после каждой - enter)
в командной строке выполните:
ipconfig /all > %systemdrive%\ipconfig.txt
pathping yandex.ru > %systemdrive%\yandex.txt
pathping 93.158.134.11 > %systemdrive%\ping_9315813411.txt
файлы c:\ipconfig.txt, c:\yandex.txt и c:\ping_9315813411.txt выложите.

4. Проверьте, запущены ли службы DNS-клиент и DHCP-клиент. Выполните очистку кэша DNS командой
ipconfig /flushdns
перезагрузитесь, проверьте не появилась ли сеть.

Пробуйте пока это.
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
21.02.2012, 19:55  [ТС] 14
да, TP-Link это wifi.К сети подключаюсь автоматически. В безопасном режиме сеть не появилась. Интернет не работает вообще.Из Firefox кэш и историю очистил.
Посмотрите, пожалуйста, правильно-ли я заполняю командную строку? Чего-то не получается.
0
Миниатюры
вирус Adguard! Как лечить?  
Заблокирован
21.02.2012, 20:17 15
правильно, только командную строку запускать надо от имени админа. Инет получаете через роутер или wifi карта напрямую ловит сигнал? То есть у вас инет только wifi, проводного нет?
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
21.02.2012, 20:31  [ТС] 16
Роутер есть. Выделенка.
0
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
21.02.2012, 20:46  [ТС] 17
Katharsis, сделал, как Вы сказали от имени администратора. Посмотрите, пожалуйста, там траблы какие-то.Блин.
0
Миниатюры
вирус Adguard! Как лечить?  
Заблокирован
21.02.2012, 20:53 18
вам не нужно заново набирать команды, достаточно скопировать и вставить.

понятно, что команда pathping tandex.ru не даст нужного результата.
ipconfig /all > %systemdrive%\ipconfig.txt
pathping yandex.ru > %systemdrive%\yandex.txt
pathping 93.158.134.11 > %systemdrive%\ping_9315813411.txt
копируйте по одной строке, вставляйте и нажимайте enter
1
0 / 0 / 0
Регистрация: 14.02.2012
Сообщений: 24
21.02.2012, 21:46  [ТС] 19
Спасибо за терпеливость, Katharsis! Логи есть. Но при очистке кэш возникла проблема. Файл в аттаче.
Выполнил перезагруз. Сети нет.
0
Миниатюры
вирус Adguard! Как лечить?  
Вложения
Тип файла: txt yandex.txt (74 байт, 10 просмотров)
Тип файла: txt ping_9315813411.txt (74 байт, 5 просмотров)
Тип файла: rar ipconfig.rar (1.8 Кб, 5 просмотров)
Заблокирован
21.02.2012, 22:19 20
Проблемы с TCP\IP протоколом, и возможно не только.

Попробуйте:
1. сделать откат на точку восстановления до появления проблемы. Если это невозможно сделать из под windows, загрузитесь в среду восстановления - из меню F8 до загрузки системы выберите "устранение неполадок компьютера" в параметрах восстановления выберите соответствующую опцию (второй пункт, дословно формулировку не помню, там понятно по смыслу).

Возможно проблема решится. Если нет:

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Обратите внимание, службы DNS-клиент и DHCP-клиент должны быть запущены.

Добавлено через 7 минут
Ещё такую проблему вижу - расплодились клоны виртуальных адаптеров 6to4. Их нужно очистить, т к огромное их количество так же может вызывать различные проблемы.

Откройте диспетчер устройств , включите показ скрытых устройств, откройте "сетевые адаптеры" и удалите оттуда все клоны 6to4. Это занимает прилично времени, но от них нужно избавляться.
1
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
21.02.2012, 22:19

Заказываю контрольные, курсовые, дипломные работы и диссертации здесь.

Аваст жалуется на вирус, а лечить не хочет
Господа, прошу вашей помощи! Вечером включила комп, запустила ХРОМ иии...тра та та...барабанная...

Ярлыки вирусыка лечить !ничего не помогает Вирус BackDoor.IRC.NgrBot.42
здравствуйте лечил комп с доктором проделывал 1.бат через блокнот все нормально вставишь влешку ...

Как лечить нешта?
Отказываются запускаться некоторые ехе файлы, тупит система, помогите с лечением Касперский...

COM surrogate как лечить
Недавно начал сильно тупить комп, что то люто жрало оперативку и диск. В диспетчере маячил процесс...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.