PDA

Показать полную графическую версию : Нет доступа к сайтам вконтакте и сатам антивирусов


Muromets
26-09-2010, 16:16
Добрый день.

От знакомого поступила просьба о помощи. Нет доступа к адресу login.vk.com, соответственно нельзя зайти вконтакт. Так же нет возможности скачать ни один из известных антивирусов.
Т.к. мы находимся далеко друг от друга, мне пришлось зайти на его компьютер при помощи radmin через Hamachi.
CureIt был запущен. Все что найдено, удалено.
Файл host исправен.
DataBasePath ссылается на %SystemRoot%\System32\drivers\etc.
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes очищен.

Заранее спасибо.

Muromets
26-09-2010, 16:17
Прошу прощения за орфографию.

MotherBoard
26-09-2010, 17:55
Смотрю логи

Muromets
26-09-2010, 18:04
Спасибо.

MotherBoard
26-09-2010, 18:32
Выполните скрипт в AVZ
Begin
RegSearch('HKLM', '', 'espF2B1');
SaveLog(GetAVZDirectory + 'avz01.log');
RegSearch('HKLM', '', 'espED40');
SaveLog(GetAVZDirectory + 'avz02.log');
end.


выложите лог в теме

выполните скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Search\Data\Temp\usgthrsvc\Ntf6.tmp','');
QuarantineFile('C:\WINDOWS\System32\ipbootp.dll','');
QuarantineFile('C:\Program Files\Google\GoogleToolbarNotifier\swg-5.3.4501.1418\SearchWithGoogleUpdate.exe','');
QuarantineFile('c:\docume~1\__!~1\locals~1\temp\espf2b1.tmp','');
QuarantineFile('c:\docume~1\__!~1\locals~1\temp\esped40.tmp','');
DeleteFile('c:\docume~1\__!~1\locals~1\temp\espf2b1.tmp');
DeleteFile('c:\docume~1\__!~1\locals~1\temp\esped40.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Комп перезагрузится
выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на quarantine<at>virusnet.info с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)
результаты проверки сообщите в теме.

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете, если не знаете - то не трогайте). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)

Muromets
26-09-2010, 18:36
Соединение разорвалось. Выложу примерно через час. Извините за задержку.

Muromets
26-09-2010, 20:55
Логи

MotherBoard
26-09-2010, 21:10
Выполните скрипт в AVZ

begin
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet002\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Print\Providers\F1F3BC9C','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet002\Control\Print\Providers\F1F3BC9C','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Print\Providers\F1F3BC9C','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet002\Control\Print\Providers\3DA32B7F','');
RegKeyDel('HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Print\Providers\3DA32B7F','');
end.

Повторите лог: virusinfo_syscure.zip

И лог MBAM выложите

Что с проблемами?

Muromets
26-09-2010, 21:41
Выполнил скрипт.
Сканирование MBAM еще не делал.
По проблемам: ничего не изменилось.
Постоянно рвется соединение.

MotherBoard
26-09-2010, 22:20
выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\DOCUME~1\__!~1\LOCALS~1\Temp\espF2B1.tmp');
BC_DeleteFile('C:\DOCUME~1\__!~1\LOCALS~1\Temp\espED40.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Комп перезагрузится

повторите лог скрипта№2 из стандартных скриптов: (virusinfo_syscheck.zip), тот быстрее выполняется чем третий.
и выложите в теме
Вы все скрипты из пятого поста выполняли(а не только самый первый)?
карантин отправили?

Muromets
26-09-2010, 22:58
Доделал сканирование MBAM (правда обновить не удалось), вот лог. Окно висит открытое - напишите что удалять.
из пятого поста делал все
карантин отправлял

MotherBoard
26-09-2010, 23:10
Удалите в MBAM
Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9d64f819-9380-8473-dab2-702fcb3d7a3e} (Trojan.Ransom) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.


93.188.162.79,93.188.161.12 - это ваши IP - адреса?

И выполните скрипт из предыдущего поста и выложите лог

Muromets
26-09-2010, 23:13
93.188.162.79,93.188.161.12 - это ваши IP - адреса? »
нет не мои и не адреса зараженного ПК

MotherBoard
26-09-2010, 23:16
Тогда удаляйте в MBAM и это:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.79,93.188.161.12 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5620d314-3bf7-499d-a2d2-272f12ce6ea9}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.79,93.188.161.12 -> No action taken.

Muromets
26-09-2010, 23:24
Компьютер после перезагрузки не входит в хамачи. Так что скрипт и логи будут только завтра.
Как только появиться информация тут же напишу в тему.
Большое спасибо за помощь.




© OSzone.net 2001-2012