на 75% сайтов выдает такую ошибку


Ошибка 101 (net::ERR_CONNECTION_RESET): Неизвестная ошибка


При это ни Нод-32, ни CureIT ничего не находят



не открывает ни в IE ни в хроме

:hi: Добрый день...!

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
(http://virusnet.info/forum/showthread.php?t=10)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\multi password recovery\mpr.exe.bak','');
QuarantineFile('C:\WINDOWS\system32\msconfig.exe','');
QuarantineFile('C:\Program Files\Multi Password Recovery\MPR.exe','');
DeleteFile('c:\program files\multi password recovery\mpr.exe.bak');
DelCLSID('{314111c7-a502-11d2-bbca-00c04f8ec294}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Подготовить новые логи..!

+

Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

+

Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

+

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Проблема решена.

все дело было в постоянных маршрутах, понял по созданному backup'у, там был возврат маршрутов

у меня остались вопросы:
1. msconfig.exe - это же системный файл, с ним все в порядке
2. я вроде тоже смотрел те логи, откуда вы понимаете, что именно надо сажать в карантин, а что является нормальным файлом? (на ум приходит только то, что надо знать список всех "белых" файлов)
3. что за новинки такие ГМЕР и РСИТ? они что делают и дают?


(а пока пойду выполнять все остальные пункты)

Привет..!

1.АВЗ подозира ===>>>C:\WINDOWS\system32\msconfig.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\msconfig.exe)
А почему вы думаете, что системный файл не может быть инфицирован ..?

2. Подозрение на маскировку ключа реестра службы\драйвера "gxvxcserv.sys"(Подозрение на Kido или TDSS).....для этой цели использовать ГМЕР..- сканер руткитов - в настоящее время один из наиболее часто используемых
инструментов для обнаружения и удаления руткитов на системах Windows.

3.РСИТ - Данная утилита представляющая собой инструмент для быстрого, но глубокого автоматического исследования наиболее уязвимых областей операционной системы пользователя на основе утилиты HijackThis, но с более расширенными возможностями анализа, позволяющего отследить изменения, произошедшие за определённый период, будь то процесс, служба, драйвер, ключ реестра, директория или файл.

1. По форме отправить файл карантина не получилось, объем больше чем максимально допустимый
2. ГМЕР - работал более 13 часов, ничего не происходило: ЦПУ загружен 100%, никакие приложения не работают, объем винта 160 Гигов - терпения не хватило до конца продержать
3. Все логи прикреплены

(скорее риторика)
4. а чё, CureIt и HiJackThis нынче не в моде? ими больше не пользуются?
5. Куда смотрел обновленный Нод32 и почему CureIt нашел всего 3 вируса, когда после него Malwarebytes' Anti-Malwarе еще тучу чего нашел ((


добавлено:
после запуска гмер, даже после экспресс скана, весь комп грузится на 100 % и псец - хард резет
сделал легкий лог

1. По форме отправить файл карантина не получилось, объем больше чем максимально допустимый »

Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь.


Удалите в МВАМ:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\gxvxcserv.sys (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.qword.com (Adware.QWO) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные папки:
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\gxvxccounter (Trojan.DNSChanger) -> No action taken.
C:\Documents and Settings\user\Избранное\Qword Search Engine.url (Adware.QWO) -> No action taken.

Сделайте новый лог МВАМ..!

Кроме того скачать TDSSKiller (http://support.kaspersky.ru/downloads/utils/tdsskiller.zip) и делать проверку компьютера. Подробные указания Здесь (http://support.kaspersky.ru/viruses/solutions?qid=208636926)

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).Имя отчета имеет следующий вид:
Например: C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt
Прикрепите лог в следующем сообщение..!

icotonev
удалите МБАМ - это удалить Malwarebytes' Anti-Malware ???
сделать новый лог не удаляя, а просто проапдейтив базу низя?


зачем вы цитировали код: мне его куда вставить?

повторный скан МБАМ (до утилиты TDSSKiller - никаких изменений)

прогнал разок TDSSKiller - после перезагрузки обещал удалить руткиты

счас повторно прогоню мбам и TDSSKiller потом выложу результаты

прогнал ТДССКиллер

прогнал МБАМОМ (не удалял и не обновлял повторно)

Удалите при помощи MBAM:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\gxvxc (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.qword.com (Adware.QWO) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.

Подготовка свежих логи : Краткие правила по запросу помощи в лечении (http://forum.oszone.net/post-717373-2.html)

простите, а как удалять при помощи МБАМ? файл я удалил с помощью File assassin а как ключи реестра кильнуть?

Вот так (http://virusinfo.info/showpost.php?p=493584&postcount=2)

вот все логи после всех лечений

ps ГМЕР не работает у меня

Логи AVZ почему сделаны в безопасном режиме? Переделать

логи АВЗ сделаны в безопасном режиме
с загрузкой всез драйверов - как в аптеке

Логи нужны из нормального режима

понял
вотъ...

Что сейчас с проблемой?

проблемы нет - думал это вы мне скажете.

мне интересно какая разница между сбором логов АВЗ в безопасном режиме и в нормальном?
и еще интересно, на что следует обращать внимание при поиске проблем по логам АВЗ (да и всем остальным)

это чтоб самому оперативно вмешиваться