После удаления вируса загружается только "Яндекс". Что делать?

Nvs · 19.01.2011, 15:02

Здравствуйте! Вчера перестали загружаться сайты, кроме ютуба и яндекса. Думал, провайдер виноват. Сегодня утром это продолжилось. Тогда я полез в процессы и нашел там zooir.exe, также оказался запущен компонент системы wudfhost.exe, которого у меня никогда там не бывало, и много-много svchostов. Вирус удалил касперским, были еще какие-то, которые он удалил, но сайты все равно не грузит. Вообще, интернет работал и работает, включая почту, IM и торрент, но из всех сайтов загружается один яндекс и все его сервисы. Пингуется в то же время все, но в браузере ничего не открывает. Кроме яндекса теперь ни один сайт больше не работает, идет ожидание ответа и все, даже не сбрасывает и нет таймаута.Пробовал 4 разных браузера и не помогло. Файл хостов нормальный, кажется. Модем работает -- пишу сейчас с того же на другом компьютере. Не знаю, как исправить. Систему переустанавливать не хотелось бы. Можете что-нибудь посоветовать? логи вот: http://webfile.ru/5063605 http://webfile.ru/5063607

goredey · 19.01.2011, 15:25

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 ClearHostsFile;
 QuarantineFile('C:\Windows\System32\H@tKeysH@@k.DLL','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm','');
 QuarantineFile('C:\Users\Nivas\Application Data\PingTesterDataBas\PingIPscan432.exe','');
 QuarantineFile('C:\Users\Nivas\AppData\Roaming\PingTesterDataBas\PingIPscan432.exe','');
 DeleteFile('C:\Users\Nivas\AppData\Roaming\PingTesterDataBas\PingIPscan432.exe');
 DeleteFile('C:\Users\Nivas\Application Data\PingTesterDataBas\PingIPscan432.exe');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Application Data\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Users\Nivas\Local Settings\Yandex\Яндекс.Фотки\help.chm');
 DeleteFile('C:\Windows\System32\H@tKeysH@@k.DLL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
RebootWindows(true);
end.

goredey · 19.01.2011, 15:26

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Пофиксить в HijackThis следующие строчки

Код:

 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Nvs · 19.01.2011, 16:02

Выполнил скрипт, удалил в hijackthis те строки, исправил, то есть. RSIT не запускается, ни от имени админа, ни из папки с программой hijackthis -- выдает ошибку, лога не выдает. Вставил картинку в архив. http://webfile.ru/5063835 Вот новый лог, второй скрипт. Сайты еще не запускаются. Что еще можно сделать?

goredey · 19.01.2011, 16:10

Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

Nvs · 19.01.2011, 16:39

Запустил комбофикс. Вот лог. http://webfile.ru/5063951 Сайты не грузит еще, все то же с виду.

goredey · 19.01.2011, 18:01

Nvs,
Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
+
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearHostsFile;
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Nvs · 19.01.2011, 19:46

Сделал это. Малвара нашла еще два вируса и удалила, но сайты не грузит все равно. остальное тоже проделал. Только комбофикс не удалился -- его уже не было, и его не нашло. Ниже запись малвары. Что еще можно сделать? 80-й порт чем-то закрыло? Можно это в реестре где увидеть и поправить?

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5550

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

19.01.2011 18:36:49
mbam-log-2011-01-19 (18-36-49).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 310868
Времени прошло: 1 часов, 4 минут, 29 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 0
Объекты реестра заражены: 0
Заражённые папки: 0
Заражённые файлы: 2

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\Users\Nivas\AppData\LocalLow\Sun\Java\deploymen t\cache\6.0\63\7e90357f-5cce420a (Spyware.Zbot) -> Quarantined and deleted successfully.
c:\Windows\pss\userinit.exe.startup (Trojan.Dropper) -> Quarantined and deleted successfully.

goredey · 19.01.2011, 20:44

Nvs, сами папку хост не перемещали?

Nvs · 19.01.2011, 21:06

Не перемещал папку. Только в блокноте открывал файл.

---------- Добавлено в 20:06 ---------- Предыдущее сообщение было написано в 19:59 ----------

Вот что в реестре там

http://webfile.ru/5064731

goredey · 19.01.2011, 21:17

а вот здесь что "%systemroot%\system32\drivers\etc

Nvs · 19.01.2011, 21:49

http://webfile.ru/5064900 Вот там что. Почему-то две папки откуда-то с одинаковыми файлами. Так и надо?

goredey · 19.01.2011, 23:40

Nvs, в этой ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters исправьте в параметреDataBasePath значение на %SystemRoot%\System32\drivers\etc

Nvs · 20.01.2011, 17:05

Исправил папки. Перезагрузил. Реестр еще программой тунап правил и прочее, двумя антивирусами еще искал, но не работают сайты все равно. Очень странно. Можно еще что испробовать?

goredey · 20.01.2011, 17:17

а эту папку удаляли ets from reset host?

19.01.2011, 15:02	#1 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	После удаления вируса загружается только "Яндекс". Что делать? Здравствуйте! Вчера перестали загружаться сайты, кроме ютуба и яндекса. Думал, провайдер виноват. Сегодня утром это продолжилось. Тогда я полез в процессы и нашел там zooir.exe, также оказался запущен компонент системы wudfhost.exe, которого у меня никогда там не бывало, и много-много svchostов. Вирус удалил касперским, были еще какие-то, которые он удалил, но сайты все равно не грузит. Вообще, интернет работал и работает, включая почту, IM и торрент, но из всех сайтов загружается один яндекс и все его сервисы. Пингуется в то же время все, но в браузере ничего не открывает. Кроме яндекса теперь ни один сайт больше не работает, идет ожидание ответа и все, даже не сбрасывает и нет таймаута.Пробовал 4 разных браузера и не помогло. Файл хостов нормальный, кажется. Модем работает -- пишу сейчас с того же на другом компьютере. Не знаю, как исправить. Систему переустанавливать не хотелось бы. Можете что-нибудь посоветовать? логи вот: http://webfile.ru/5063605 http://webfile.ru/5063607

19.01.2011, 15:26	#3 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту. Пофиксить в HijackThis следующие строчки Код: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) + Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

19.01.2011, 18:01	#7 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Nvs, Деинсталлируйте ComboFix:нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up + AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Код: begin ClearHostsFile; ExecuteRepair(13); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

19.01.2011, 20:44	#9 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Nvs, сами папку хост не перемещали? Последний раз редактировалось goredey; 19.01.2011 в 20:56.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
"Оверклокинг на этой системной плате допустим только в такой комбинации"	uropek	Разгон и моддинг	0	25.12.2010 04:56
режим "Рид онли(только чтение)" . как обойти ?	дормидонд	Интернет и сети	0	29.11.2010 17:27
ПОМЕНЯЛА РАЗРЕШЕНИЕ. ТЕПЕРЬ НА МОНИТОР НЕ РАБ. ТОЛЬКО НАДПИСЬ "MODE NOT SUPPORTED"	НАТАШКА АВРАМЕНКО	Windows XP	8	14.09.2010 18:51
после загрузки системы вылетает окно "не удалось найти "csrcs.exe"	SCHEKOTKA	Windows 7	4	09.09.2010 21:16
После вируса не активна кнопка "выход из системы"	Sashog	Безопасность	1	27.04.2010 11:15
НЕ работает кнопка "Перезагрузка", остальные "Ждущий режим"\"Выкл." в норме.	Мириам	Windows XP	0	24.03.2010 13:11
Что делать если загрузка системы останавливается после "приветствия"...	Audirs6	Неисправности, настройка	1	23.02.2010 08:02
После удаления баннера (SMS) на экране надпись: "Ошибка при загрузке jriw.cao."	VladislavF	Безопасность	27	18.02.2010 15:49
не могу удалить ни одну программу через "установка и удаления програм"и неотображает	gorky	Windows XP	6	24.10.2009 18:34
Файлы превращаются в "только для чтения"	Renako	Windows Vista	1	19.03.2009 15:17

19.01.2011, 16:02	#4 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	Выполнил скрипт, удалил в hijackthis те строки, исправил, то есть. RSIT не запускается, ни от имени админа, ни из папки с программой hijackthis -- выдает ошибку, лога не выдает. Вставил картинку в архив. http://webfile.ru/5063835 Вот новый лог, второй скрипт. Сайты еще не запускаются. Что еще можно сделать?

19.01.2011, 16:10	#5 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Цитата:Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Подробнее в "ComboFix. Руководство по применению."

19.01.2011, 16:39	#6 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	Запустил комбофикс. Вот лог. http://webfile.ru/5063951 Сайты не грузит еще, все то же с виду.

19.01.2011, 19:46	#8 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	Сделал это. Малвара нашла еще два вируса и удалила, но сайты не грузит все равно. остальное тоже проделал. Только комбофикс не удалился -- его уже не было, и его не нашло. Ниже запись малвары. Что еще можно сделать? 80-й порт чем-то закрыло? Можно это в реестре где увидеть и поправить? Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5550 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18928 19.01.2011 18:36:49 mbam-log-2011-01-19 (18-36-49).txt Тип сканирования: Полное сканирование (C:\\|) Просканированные объекты: 310868 Времени прошло: 1 часов, 4 минут, 29 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 0 Заражённые параметры в реестре: 0 Объекты реестра заражены: 0 Заражённые папки: 0 Заражённые файлы: 2 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: (Вредоносных программ не обнаружено) Заражённые параметры в реестре: (Вредоносных программ не обнаружено) Объекты реестра заражены: (Вредоносных программ не обнаружено) Заражённые папки: (Вредоносных программ не обнаружено) Заражённые файлы: c:\Users\Nivas\AppData\LocalLow\Sun\Java\deploymen t\cache\6.0\63\7e90357f-5cce420a (Spyware.Zbot) -> Quarantined and deleted successfully. c:\Windows\pss\userinit.exe.startup (Trojan.Dropper) -> Quarantined and deleted successfully.

19.01.2011, 21:06	#10 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	Не перемещал папку. Только в блокноте открывал файл. ---------- Добавлено в 20:06 ---------- Предыдущее сообщение было написано в 19:59 ---------- Вот что в реестре там http://webfile.ru/5064731

19.01.2011, 21:17	#11 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	а вот здесь что "%systemroot%\system32\drivers\etc

19.01.2011, 21:49	#12 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	http://webfile.ru/5064900 Вот там что. Почему-то две папки откуда-то с одинаковыми файлами. Так и надо?

19.01.2011, 23:40	#13 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	Nvs, в этой ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters исправьте в параметреDataBasePath значение на %SystemRoot%\System32\drivers\etc

20.01.2011, 17:05	#14 (ссылка)
Nvs Новичок Регистрация: 19.01.2011 Сообщений: 10 Репутация: 0	Исправил папки. Перезагрузил. Реестр еще программой тунап правил и прочее, двумя антивирусами еще искал, но не работают сайты все равно. Очень странно. Можно еще что испробовать?

20.01.2011, 17:17	#15 (ссылка)
goredey Знаток Регистрация: 13.12.2010 Сообщений: 1,986 Репутация: 152	а эту папку удаляли ets from reset host?

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)