| Author |
Message
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
 #1
 22 Apr 2009 08:19 Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Witam , jestem trochę zielony w tych sprawach trochę poczytałem na forum ale nie znalazłem rozwiązania.Mam Kaspersky Internet Security 7 i ostatnio coś mi zjadło plik kernel.dll ( odtworzyłem poprzez konsolę odzyskiwania ) ale od tamtej pory nie mogę zaktualizować Kasperskiego ani połączyć się z żadną stroną programów antywirusowych. Próbowałem uruchomić Combofix w/g zaleceń producenta ( żeby wkleić logi) ale wywala taki komunikat:
!!ALERT!! It is NOT SAFE to continue!
The contents of the Combofix package has been compromised.
Please download a fresh copy from :
http://www.bleepingcomputer/combofix/how-to-use-combofix
Note:You may be infected with a file paching virus (Virut)
|
|
| Back to top |
|
 |
jokrasa
Poziom 21
Joined: 29 Nov 2005
Posts: 1222
Location: Skierniewice, Żyrardów, Brzeziny
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#3
22 Apr 2009 11:25 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Właśnie z tego linku korzystałem, a dokładnie z trzech podanych do pobrania zawsze z takim samym efektem.
|
|
| Back to top |
|
|
Google
|
| #
22 Apr 2009 11:25 |
|
|
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#4
22 Apr 2009 11:33 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Uruchom windows w trybie awaryjnym z obsluga sieci i tam sciagnij combofix, zapisz pod zmieniona nazwa np. qwert1234.com i sprobuj uruchomic. Virut'a raczej nie masz, predzej jakis rootkit Bagle lub np. Conficker. Dla pewnosci sprawdz plik kaspersky'iego na jotti, to samo z explorer.exe, userinit.exe oraz winlogon.exe
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#5
22 Apr 2009 12:00 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Co do Conficker'a to już zainstalowałem łatkę z MS.
Spróbuję w trybie awaryjnym ściągnąć Combofix - ale dopiero po pracy.
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#6
22 Apr 2009 21:23 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Niestety poprzez tryb awaryjny z obsługą sieci też mi wyskakuje komunikat jak w pierwszym poście.
Z jotti też nie mogę się połączyć. :(
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#7
22 Apr 2009 21:28 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
To moze http://www.virustotal.com/pl/ ewentualnie przenies te pare plikow i sprawdz na innym komputerze przy pomocy jotti (tylko uwazaj zeby ich nie uruchmic!).
Sprobuj dac log z OtViewIt oraz DDS.
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#8
22 Apr 2009 21:57 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Niestety z http://www.virustotal.com/pl/ też nie łączy jedynie OTViewt poszło :
| Description: |
|
Download |
| Filename: |
OTViewIt.Txt |
| Contents: |
|
| Filesize: |
75.48 KB |
| Punkty: |
0 |
| Description: |
|
Download |
| Filename: |
Extras.Txt |
| Contents: |
|
| Filesize: |
29.54 KB |
| Punkty: |
0 |
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#9
22 Apr 2009 22:09 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Wyglada na Virut'a, naprawa nie ma sensu. Przeinstaluj system + usun wszystkie pliki exe, scr, dll z dyskow.
|
|
| Back to top |
|
|
Google
|
| #
22 Apr 2009 22:09 |
|
|
|
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#10
22 Apr 2009 22:22 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
No to nieźle :cry: - naprawdę nic nie da się zrobić ? System pikuś ale mam na lapku soft zainstalowany i skonfigurowany pod diagnozę aut(bogata baza indywidualnch ustawień) a z reinstalacją tego będzie kłopot.
Czy ten robalek mógł także uszkodzić zewnętrzny twardy dysk- bo miej więcej w tym samym czasie zaczął się sypać dysk zewnętrzny (stuki , chrobotanie , braki dostępu itp) ???
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#11
22 Apr 2009 23:45 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Dla pewnosci mozesz sprawdzic pare plikow na innym komputerze przy pomocy jotti i wtedy bedziesz wiedzial czy to Virut.
Uszkodzenie dysku nie ma zwiazku z wirusem.
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#12
23 Apr 2009 07:37 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Skopiowałem explorer.exe na pena i na drugim kompie jotti znalazł :
Scanner Malware name
A-Squared Virus.Win32.Delf.ICC!IK
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
CPsecure X
Dr.Web X
F-Prot Antivirus X
F-Secure Anti-Virus X
Ikarus Virus.Win32.Delf.ICC
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Quick Heal X
Sophos Antivirus X
VirusBuster X
VBA32 X
Czy jest możliwość wyleczenia plików wykonywalnych na innym komputerze i je potem przenieść na ten zainfekowany?
|
|
| Back to top |
|
|
Google
|
| #
23 Apr 2009 07:37 |
|
|
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#13
23 Apr 2009 11:28 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Moze da sie to naprawic skoro to nie Virut.
Sciagnij OTMoveIt3.exe
W oknie: "Paste Instructions for Items to be Moved", wklej:
:Processes
explorer.exe
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ExtendedPsw"=-
"reader_s"=-
"svchost.exe"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ExtendedPsw"=-
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31d12cc3-61e5-11dc-b2bc-00120e4adcd5}]
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31d12cc3-61e5-11dc-b2bc-00120e4adcd5}]
:Files
C:\found.000
C:\WINDOWS\dhcp\
C:\WINDOWS\System32\3361\
C:\WINDOWS\system32\reader_s.exe
C:\WINDOWS\System32\cmd.execf
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
Po wykonaniu skopiuj wszystko z "Results window" lub log z C:\_OTMoveIt\MovedFiles o ile bedzie wymagany reset i wklej na forum.
Uruchom konsole odzyskiwania i podmien te dwa pliki na ten z zalacznika (wczesniej wypakuj):
C:\WINDOWS\System32\drivers\ndis.sys
C:\WINDOWS\System32\dllcache\ndis.sys
| Description: |
|
Download |
| Filename: |
ndis.rar |
| Contents: |
|
| Filesize: |
88.97 KB |
| Punkty: |
0.00 |
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#14
23 Apr 2009 16:56 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Wynik z OTMoveIt:
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ExtendedPsw deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\reader_s deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\svchost.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\reader_s deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\\ExtendedPsw deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31d12cc3-61e5-11dc-b2bc-00120e4adcd5}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31d12cc3-61e5-11dc-b2bc-00120e4adcd5}\\ not found.
========== FILES ==========
C:\found.000\dir0000.chk moved successfully.
C:\found.000 moved successfully.
Folder move failed. C:\WINDOWS\dhcp scheduled to be moved on reboot.
C:\WINDOWS\System32\3361 moved successfully.
C:\WINDOWS\system32\reader_s.exe moved successfully.
C:\WINDOWS\System32\cmd.execf moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\dell2\USTAWI~1\Temp\Rar$EX00.266\ExtendedPsw.exe scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\dell2\USTAWI~1\Temp\etilqs_YXgoXK71os5KhawCWnL5 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\BNC.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_448.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\q73xzz8c.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\q73xzz8c.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\q73xzz8c.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\q73xzz8c.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\q73xzz8c.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\dell2\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\q73xzz8c.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04232009_175141
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#15
23 Apr 2009 18:30 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Zobacz czy combofix juz dziala, jezeli tak to daj log. Daj tez log z SDFix wykonany w trybie awaryjnym.
Zrob tez skan przy pomocy Dr.Web CureIt.
|
|
| Back to top |
|
|
M12
Poziom 12
Joined: 02 Nov 2004
Posts: 91
|
#16
24 Apr 2009 23:08 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
DrWeb CureIt wykrył i wyleczył lub usunął przeszło 2700 zainfekowanych plików ale nie mogłem zapisać logów. Ruszył także Combofix oto log:
| Description: |
|
Download |
| Filename: |
log.txt |
| Contents: |
|
| Filesize: |
23.67 KB |
| Punkty: |
0 |
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26228
Location: Warszawa
|
#17
24 Apr 2009 23:21 Re: Nie mozna połączyć się ze stronami antywirusowymi |
|
|
|
Zrob jeszcze raz pelny skan przy pomocy Dr.Web.
Sprawdz te pliki na jotti:
2009-04-21 04:08 . 2009-04-21 04:08 10240 ----a-w c:\windows\system32\Packer.dll
2009-04-21 04:07 . 2009-04-21 04:07 108336 ----a-w c:\windows\system32\MSWINSCK.OCX
Uzyj CFScript.txt i daj nowy log:
Folder::
c:\windows\dhcp
File::
c:\windows\system32\E.tmp
c:\windows\system32\D.tmp
c:\windows\system32\C.tmp
c:\windows\system32\A.tmp
c:\windows\system32\8.tmp
c:\windows\system32\6.tmp
c:\windows\system32\27.tmp
c:\windows\system32\26.tmp
c:\windows\system32\16.tmp
c:\windows\system32\3.tmp
c:\windows\system32\9F.tmp
c:\windows\system32\9C.tmp
c:\windows\DUMPcf36.tmp
c:\windows\system32\xz.exe
Driver::
ethbixmh
qig1e01
Uzyj SDFix w trybie awaryjnym i daj log z niego.
|
|
| Back to top |
|
|
