Блокируются сайты антивирусов и др.

[Бородатый]

Собственно, не открываются сайты Др. Веб, Касперский, еще почему-то Авито. Старые темы здесь, например http://www.nowa.cc/showthread.php?t=310087&page=2 тоже посмотреть не могу - винда выдает ошибку и Эксплорер пишет, что невозможно открыть страницу. А ближайшие две последние темы про подобное закрыты.
Антивирь Аваст фришный. Раньше был Нод 32.
Комп прогонял и Карентом, скачанным с др. компа и Каспером и, конечно Авастом - ничего.
Прогой Gmer только что погнал. Лог

Спасибо заранее.

[regist]

Бородатый, прочтите ещё раз правила раздела, в частности Приложение 1. Диагностика и прикрепите virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log

[Бородатый]

Проблема в том, что я не могу скачать AVZ - и IE и Opera выдают ошибку по ссылке в Правилах http://z-oleg.com/avz4.zip (невозможность открыть окно). А IE и это окно просматривать не дает - пишет ошибку.
Попробовать другим браузером? Каким?

[ultramarin]

Бородатый, host файл вычисти от всех записей кроме одной (что бы выглядело как в коде):

Код:

 127.0.0.1       localhost

Находится он C:\Windows\system32\drivers\etc\
Открывается любым тестовым редактором.

После этих манипуляций выполните все рекомендации моего коллеги regist

Цитата: Сообщение от Бородатый Попробовать другим браузером? Каким?

Если имеется дистрибутивы других любых браузеров то поставьте и пробуйте скачать! Или переустановите оперу!

[Бородатый]

Затра попробую вычистить.
Оперу только сегодня поставил свежую самую. Других браузеров нет. Но, по-моему, файрфокс фришный есть в сети и что-то еще.

Цитата: После этих манипуляций выполните все рекомендации моего коллеги regist

В смысле, AVZ должен загрузиться? Завтра попробую.
Спасибо.

[regist]

Бородатый, попробуйте скачать AVZ отсюда (залил со своего компьтера предварительно обновив базы).

[Бородатый]

По поводу чистки папки C:\Windows\system32\drivers\etc\. Там находятся файлы hosts, hosts.ics, lmhosts.sam, networks, protocol, services. я правильно понял, что нужно удалить все, кроме первого с содержимым # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

??? Посто, не зная броду... В остальных, вроде, тоже системная информация содержится.

Добавлено через 5 минут
Спасибо, AVZ, кажется, удалось залить. Буду сканить.

[regist]

Бородатый, нужно было удалять только в hosts (без расширения), но судя по тому что вы процитировали там всё в порядке, так что оставьте его в покое. Ждём логов.

[Бородатый]

Виноват. Не сразу понял, что просто вложения надо почистить.
Креплю логи

[regist]

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\nlrqpayvezvk.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nlyeu.sys','');
 QuarantineFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\esp12A0.tmp','');
 QuarantineFile('\\?\globalroot\systemroot\system32\dnxxfgh.exe','');
 QuarantineFile('\\?\globalroot\systemroot\system32\sg6bicn.exe','');
 DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\esp12A0.tmp');
 DeleteFile('C:\WINDOWS\system32\drivers\nlrqpayvezvk.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nlyeu.sys');
DeleteFile('\\?\globalroot\systemroot\system32\dnxxfgh.exe');
DeleteFile('\\?\globalroot\systemroot\system32\sg6bicn.exe');
 BC_DeleteSvc('arpbh');
 BC_DeleteSvc('sgktob');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(20);
ExecuteWizard('TSW', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

пофиксить с помощью HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\dnxxfgh.exe,\\?\globalroot\systemroot\system32\sg6bicn.exe,
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[Alexey_VI]

И потом ещё один скрипт

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\drivers\nlrqpayvezvk.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nlyeu.sys');
 BC_DeleteSvc('arpbh');
 BC_DeleteSvc('sgktob');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

И логи, логи

[Бородатый]

Уточните, плз, последовательность действий.
Итак:
1. Выполняю рекомендации ув. regist, отправляю на мейл и выкладываю получившиеся логи.
2. Выполняю скрипт по рекомендации ув. Alexey_VI. Выкладываю опять логи. Какие именно?
Я правильно понял рекомендации?

[regist]

Бородатый, я отредактировал скрипт в своём посте и дополнил его указаниями от Alexey_VI, так что теперь достаточно выполнить только указания из поста №10.

-------
если бы я не отредактировал, надо было сначала выполнить скрипты AVZ+ и фикс Hijackthis из моего поста + скрипт из поста Alexey_VI. Потом сделать новые логи и разумеется отправить карантин на почту. Тоесть логи надо делать после выполнения всех скриптов фиксов и т.д.

[Бородатый]

Целый день был в офлайне - простите за заднржку.
Получилось так, что я не воспользовался отредактированным ув. regist скриптом, т.к. первые два я сделал ранее. Поэтому скрипты выполнял последовательно. Надеюсь, не накосячил?
1.Когда выполнился последний скрипт, компьютер пошел на перезагрузку... и повис. Висел минут 10, после чего его пришлось перезагружать резетом.
2.Когда фиксил с помощью HiJackThis, не обнаружил в окне строку

Цитата: F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\glob alroot\systemroot\system32\dnxxfgh.exe,\\?\globalr oot\systemroot\system32\sg6bicn.exe,

. Отметил оставшиеся две.

Результат загрузки: Файл сохранён как 110211_030524_virusinfo_files_911-RT37W4JYGE5_4d547d44aa474.zip
Размер файла 41162130
MD5 056bf7474a5416474249eaa1eb40d032

Логи

[regist]

Бородатый, что с проблеммами?