Вирус на компе (не открываются многие сайты)

[roma1990 0]

Добрый вечер.У меня такая же проблема,что и в этой теме Не могу войти ни на один антивирусный сайт ,но кроме сайтов антивирусов не открываются еще парочку и многие сайты стали долго грузиться.Как и написано в инструкции,проверил комп своим антивирусом (НОД32 -перестал обновляться ,когда появилась данная проблема) а также с помощью Kaspersky® Virus Removal Tool ,они ничего не нашли.

Далее,следуя инструкции прилагаю Вам логи программ.

 

http://www.getsysteminfo.com/read.php?file...5ac87156c3fea1a

 

Надеюсь на Вашу помощь.

virusinfo_syscheck.zip

GetSystemInfo_SNOWSTORM____________2010_07_27_21_42_24.zip

hijackthis.rar

[Artificial Knight 1]

Для начала пофиксить в Хайджеке следующие строки:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Роман\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Documents and Settings\Роман\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

[roma1990 0]

как-то так

hijackthis.rar

[Artificial Knight 1]

1. Запустите AVZ.

2. Выполните обновление баз (Меню "Файл\Обновление баз")

3. Закройте все приложения, и запустите используемый в Вашей системе интернет браузер (IE, FireFox, Opera ... - если применяется несколько браузеров, то можно запустить их все, это требуется, чтобы AVZ мог проанализировать используемые браузерами модули расширения и плагины)

4. AVZ, меню "Файл\Стандартные скрипты". В открывшемся окне необходимо отметить скрипт номер 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 0.5-2 минуты. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip

Архив отправить на почтовый ящик, указанный в Инструкции.

[roma1990 0]

Архив отправить на почтовый ящик, указанный в Инструкции.

готово

[Artificial Knight 1]

Не вижу. Адрес в п.2 Инструкции.

[roma1990 0]

Не вижу. Адрес в п.2 Инструкции.

отправил повторно на sendvirus... ,первый раз был указан этот же адрес

[Artificial Knight 1]

Прикольный зоопарк:

http://www.virustotal.com/ru/analisis/8659...a500-1280351334

http://www.virustotal.com/ru/analisis/da78...da0a-1280351002

Будем лечить. Но позже, сейчас

Пока можно просканировать ПК в Безопасном режиме Нодом и Kaspersky® Virus Removal Tool свежим.

[roma1990 0]

Прикольный зоопарк:

http://www.virustotal.com/ru/analisis/8659...a500-1280351334

http://www.virustotal.com/ru/analisis/da78...da0a-1280351002

Будем лечить. Но позже, сейчас

Пока можно просканировать ПК в Безопасном режиме Нодом и Kaspersky® Virus Removal Tool свежим.

потеря потерь,я даже не могу посмотреть что в этих ссылках,он меня блочит)

Спокойной ночи)

[Fomarkin 14]

потеря потерь,я даже не могу посмотреть что в этих ссылках,он меня блочит)

Спокойной ночи)

Очистите временные папки, в командной строке наберите:

Del %Temp%\* /f/s/q

 

В AVZ выполни скрипт, компьютер перезагрузится, после этого сайты скорее всего будут открываться.

скрипт:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

DeleteFile('C:\WINDOWS\system32\7563238d.exe');

DeleteFile('C:\WINDOWS\system32\ntvqnz.exe');

RegKeyDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit');

BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'net_cure1');

RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');

RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');

RebootWindows(true);

end.

 

В пофиксить в Хайджеке следующие строку:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7563238d.exe,C:\WINDOWS\system32\ntvqnz.exe,

[roma1990 0]

потеря потерь,я даже не могу посмотреть что в этих ссылках,он меня блочит)

Спокойной ночи)

Очистите временные папки, в командной строке наберите:

Del %Temp%\* /f/s/q

 

В AVZ выполни скрипт, компьютер перезагрузится, после этого сайты скорее всего будут открываться.

скрипт:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

DeleteFile('C:\WINDOWS\system32\7563238d.exe');

DeleteFile('C:\WINDOWS\system32\ntvqnz.exe');

RegKeyDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit');

BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'net_cure1');

RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');

RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');

RebootWindows(true);

end.

 

В пофиксить в Хайджеке следующие строку:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7563238d.exe,C:\WINDOWS\system32\ntvqnz.exe,

спасибо,помогло

[Artificial Knight 1]

На всякий случай новые логи AVZ и Хайджек.

[Fomarkin 14]

спасибо,помогло

На всякий случай прогоните полную проверку диска и посмотрите в реестре разделы

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

Иногда вири добавляют или изменяют параметры (устанавливают запрет), посмотрите что там как, Гугл в помощь или хелп по какому-нибудь твикеру.

[roma1990 0]

На всякий случай новые логи AVZ и Хайджек.

вот

спасибо,помогло

На всякий случай прогоните полную проверку диска и посмотрите в реестре разделы

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Иногда вири добавляют или изменяют параметры (устанавливают запрет), посмотрите что там как, Гугл в помощь или хелп по какому-нибудь твикеру.

 

теперь только вечером отпишу что,как

 

спасибо,помогло

На всякий случай прогоните полную проверку диска и посмотрите в реестре разделы

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

Иногда вири добавляют или изменяют параметры (устанавливают запрет), посмотрите что там как, Гугл в помощь или хелп по какому-нибудь твикеру.

короче я там ничего не понял и гугл толком не помог,так что думаю на этом все.Спасибо большое за помощь!

 

Можно закрывать тему?

hijackthis.rar

virusinfo_syscheck.zip

[Artificial Knight 1]

Выполнить скрипт в AVZ:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('cportclm');
QuarantineFile('C:\WINDOWS\vsnct511.exe','');
QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
QuarantineFile('C:\DOCUME~1\726E~1\LOCALS~1\Temp\cportclm.sys','');
QuarantineFile('.sys','');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.

Карантин выслать на ящик или в личку.

[roma1990 0]

Карантин выслать на ящик или в личку.

скинул в личку

 

Просканировал систему нод32 и спайботом,нод нашел 12 вирусов (в том числе 2 файла карантина авз),спайбот 5 разнообразных червей (или что он там находит)

 

Чем посоветуете в будущем защищать комп,видимо нод не справляется?

[neptun 0]

Из своего личного опыта скажу вот что:

1. Не лазить по левым сайтам (порно сайты и тому подобные ресурсы)

2. А на счет антивируса юзаю нод32 версии 4.2 и он меня в полне устраивает.

[Artificial Knight 1]

Карантин выслать на ящик или в личку.

скинул в личку

Это не то.

В папке AVZ должна была создаться папка Quarantine.

 

А сканирование Нодом32 и Спайботом проводилось до выполнения скрипта?

В карантин попал один из четырёх файлов.

Вот этих двоих -> E:\INSTALL\GMSIPCI.SYS и C:\DOCUME~1\726E~1\LOCALS~1\Temp\cportclm.sys, если удастся найти, проверить на http://www.virustotal.com/ru/

[roma1990 0]

Карантин выслать на ящик или в личку.

скинул в личку

Это не то.

В папке AVZ должна была создаться папка Quarantine.

 

А сканирование Нодом32 и Спайботом проводилось до выполнения скрипта?

В карантин попал один из четырёх файлов.

Вот этих двоих -> E:\INSTALL\GMSIPCI.SYS и C:\DOCUME~1\726E~1\LOCALS~1\Temp\cportclm.sys, если удастся найти, проверить на http://www.virustotal.com/ru/

после сканирования нод32.Файлы не нашел,диск Е-дисковод,к тому же он пустой.

Вот список файлов,которые нашел нод32

[Artificial Knight 1]

Желательно скачать свежий Kaspersky® Virus Removal Tool и DrWeb CureIt и проверить ими систему в Безопасном режиме.

 

И ещё: - Secunia Personal Software Inspector (PSI) - http://secunia.com/PSISetup.exe

Утилита под названием Secunia PSI сканирует содержимое жесткого диска в поисках «просроченных» приложений, нуждающихся в установке патча или обновлении. Обнаружив уязвимость, программа предоставит ссылку на скачивание необходимой заплатки и предоставит подробные инструкции по разрешению возникшей проблемы. Подобная функциональность реализована и в других средствах защиты, однако Secunia PSI отличается от коммерческих продуктов тем, что позволяет выполнить необходимую проверку совершенно бесплатно.

Русский язык присутствует.

Чем меньше "дыр" в системе и в программах - тем меньше вероятность заразить комп.

[roma1990 0]

Желательно скачать свежий Kaspersky® Virus Removal Tool и DrWeb CureIt и проверить ими систему в Безопасном режиме.

 

И ещё: - Secunia Personal Software Inspector (PSI) - http://secunia.com/PSISetup.exe

Что у нас получается

Нод32 -12 вирусов

Спайбот еще 5

Затем после них

DrWeb CureIt -7 штук

и наконец

Kaspersky® Virus Removal Tool -12 вирусов

Как-то не очень чорошо каждый из них работает поотдельности.

[Artificial Knight 1]

Нужно смотреть ещё кто что и где находит, иногда - в карантине друг у друга.

Все эти сложности - последствия лечения активного заражения, особенно когда в системе руткит, прикрывающий основную заразу.

Гораздо проще заражение предотвратить.

[Fomarkin 14]

Что у нас получается

Нод32 -12 вирусов

Спайбот еще 5

Затем после них

DrWeb CureIt -7 штук

и наконец

Kaspersky® Virus Removal Tool -12 вирусов

Как-то не очень чорошо каждый из них работает поотдельности.

Вирус у вас скорее всего 1, все остальное это его клоны, посмотрите по размеру файлов, если совпадают, то можно запустить поиск по размеру на сист. диске (в Total Com. и в FAR есть такая функция) а потом проверить все найденное (дополнительно можно сравнить по CRC)

[Мячин Д.А. 1]

Fomarkin, фигня какая-то.

[Fomarkin 14]

Fomarkin, фигня какая-то.

http://www.securelist.com/ru/alerts?alertid=203698715

[Мячин Д.А. 1]

Fomarkin, и что?

можно запустить поиск по размеру на сист. диске

дополнительно можно сравнить по CRC

Вот фигня.

[Fomarkin 14]

Fomarkin, и что?

можно запустить поиск по размеру на сист. диске

дополнительно можно сравнить по CRC

Вот фигня.

Конкретней и разверуто

[roma1990 0]

Что у нас получается

Нод32 -12 вирусов

Спайбот еще 5

Затем после них

DrWeb CureIt -7 штук

и наконец

Kaspersky® Virus Removal Tool -12 вирусов

Как-то не очень чорошо каждый из них работает поотдельности.

Вирус у вас скорее всего 1, все остальное это его клоны, посмотрите по размеру файлов, если совпадают, то можно запустить поиск по размеру на сист. диске (в Total Com. и в FAR есть такая функция) а потом проверить все найденное (дополнительно можно сравнить по CRC)

там вообще трояны были.

сделал сканирование системы как написано тут http://www.securelist.com/ru/alerts?alertid=203698715 ,ничего не найдено

[VladimirSS 3]

я б прогнал комп линуксовым диском каспера, а потом тупо почистил реестр jv16.

[roma1990 0]

я б прогнал комп линуксовым диском каспера, а потом тупо почистил реестр jv16.

попробовал просканировать,выдал

Could not find the root block device in

Почитал в инете,это чо-то связанное с дисками,утром разберусь и попробую еще разок...