Не обновляется антивирус, сайты майкрософта и антивирусов недоступны...

Нужна наша помощь? Нам нужны ваши логи! (http://forum.oszone.net/thread-98169.html)

Все есть, просто не сразу прикрепил:)

Здравствуйте.
выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('f:\3ad254e74664b613f8025a\wgasetup.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SjyPkt.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\bkload.sys','');
QuarantineFile('c:\docume~1\max\locals~1\temp\cdrmkaun.sys','');
QuarantineFile('c:\temp\{709277c5-3369-49c6-a605-d1648ff542f8}\fsgk.sys','');
DeleteFile('c:\temp\{709277c5-3369-49c6-a605-d1648ff542f8}\fsgk.sys');
DeleteFile('f:\3ad254e74664b613f8025a\wgasetup.exe');
DeleteFile('c:\docume~1\max\locals~1\temp\cdrmkaun.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\F-Secure Gatekeeper','EventMessageFile');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cdrmkaun');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(20);
RebootWindows(true);
end.

Комп перезагрузится
выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксите в HJT (http://virusnet.info/forum/showthread.php?t=9)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\i605yz6.exe,\\?\globalr oot\systemroot\system32\bHxXaxM.exe,
O4 - Global Startup: AutorunsDisabled

IP ваши? 0.221.10.100, 10.221.0.2 80.252.130.254 80.252.128.254
Если нет, то профиксьте..
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FF7F030-95C1-4847-BE16-A5490FAA9280}: NameServer = 10.221.10.100,10.221.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{41BCB814-1698-4D8C-9E5E-6BB1A5AFAAB6}: NameServer = 80.252.130.254 80.252.128.254


Повторите логи AVZ и HJT

Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Что с проблемами?

Добрый день. Спасибо за помошь. После выполнения первого скрипта все вроде заработало:) В HJT пофиксил, ип мои, карантин отправил...

Grind, Ещё один скрипт выполните

• Скачайте OTM by OldTimer (http://www.virusnet.info/forum/downloads.php?do=file&id=21) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\oaeHDdF.exe
C:\WINDOWS\system32\ZYSWtyL.exe
C:\WINDOWS\system32\UUF23AE.exe
C:\WINDOWS\system32\2fbbFoG.exe
C:\WINDOWS\system32\uA9G4Vb.exe
C:\WINDOWS\system32\1oDl4LK.exe
C:\WINDOWS\system32\JgzWzyo.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение

После перезагрузки запустите ещё раз эту программу OTMoveIt и нажмите кнопку CleanUp!. После перезагрузки программа удалится.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\oaeHDdF.exe moved successfully.
C:\WINDOWS\system32\ZYSWtyL.exe moved successfully.
C:\WINDOWS\system32\UUF23AE.exe moved successfully.
C:\WINDOWS\system32\2fbbFoG.exe moved successfully.
C:\WINDOWS\system32\uA9G4Vb.exe moved successfully.
C:\WINDOWS\system32\1oDl4LK.exe moved successfully.
C:\WINDOWS\system32\JgzWzyo.exe moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Flash cache emptied: 41 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33771 bytes

User: Max
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 210953919 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 39772806 bytes
->Google Chrome cache emptied: 11827974 bytes
->Apple Safari cache emptied: 11011913 bytes
->Opera cache emptied: 16340301 bytes
->Flash cache emptied: 11401 bytes

User: NetworkService
->Temp folder emptied: 149428 bytes
->Temporary Internet Files folder emptied: 564125 bytes

User: Администратор
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1645681 bytes
%systemroot%\System32 .tmp files removed: 17078909 bytes
%systemroot%\System32\dllcache .tmp files removed: 19046373 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8572131 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 137106 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 322,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 06132010_172306

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Ну что ж, хорошо, теперь если не забылиПосле перезагрузки запустите ещё раз эту программу OTMoveIt и нажмите кнопку CleanUp!. После перезагрузки программа удалится. »

И если проблем нет, отмечайте тему решённой. :)

Спасибо огромное. Дело в том что это второй случай у меня втречи с подобным вирусом. Первый раз втретился в конце января, решил проблему так: нашел где то на форуме (возможно даже на этом) похожую проблему, там был кайкойто скрипт к avz и выполнил его, и видать все было на столько идетентично что мне это скрипт помог:) Хотел бы поинтересоватся каким образом этот вирус мог попасть ко мне и как я в будущем могу обезопасить себя от него?
Да кстате, после проведения всех манипуляций по поиску и уничтожению вируса, заметил что при влюченом торент-клиенте страницы стали заметно дольше грузиться, это можно какнить исправить?

там был кайкойто скрипт к avz и выполнил его, »

Скрипты выписаны индивидуально для каждого случая, поэтому не рекомендую баловаться, это может иметь непредсказуемые последствия... :)

Каким браузером пользуемся для обзора интернета?

Основной браузер MyIe2 (знаю устраел, но очень удобный:) ). Пробывал на разных браузерах, включая фаерфокс, оперу, хром. Заметное падение скорости открытия страниц с включеным uTorrent'ом. страницы могу открыватся по несколько минут:(

Браузер лучше бы Файерфокс c NoScript (https://addons.mozilla.org/ru/firefox/addon/722/)
с включеным uTorrent'ом. »
это уже какого качества у вас интернет...
если не ахти скорость, включенный uTorrent отхватывает почти весь канал.. :(
такое и у себя наблюдала на своём инете , где скорость 400кб/с

С инетом все ворядке. Да и торрент загружает канал примерно на процентов 20. Это случилось сразу же после того как был изничтожен вирус, до этого страницы открывались нормально... Может каким то образом какие то порты позакрывались?

В блокноте Создаём батник, файл с расширением .bat - RegScatic.bat. Содержимое такое:

Reg EXPORT "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" "Static_Marshrut.reg" >nul

Сохраняем и запускаем. Ждём отработки, рядом с созданым файлом появится файл - Static_Reg.txt. Прикрепите к сообщению.

вот...

Основной браузер MyIe2 (знаю устраел, но очень удобный ). »Я тоже его приверженец. :yes: :up:

...\Parameters\PersistentRoutesВетка чистая.

...\Parameters\PersistentRoutes »
что с этим делать?:)

Grind, Ничего, это для информативности написал. :)

:) Ну а поповоду увелечения скорости есть идеи? Может порты какие-нибудь открыть?:)

Grind, Если честно, без понятия.