Антивирусы, А что стоит у вас?

[Molly]

Добрый день, дорогие старые и новые друзья!

Прошел год-другой, и снова у меня возник компутерный вопрос, который хочется задать компетентным людям - но не просто каким-то, а таким которым доверяешь : ). Которые не обманут, а наоборот, помогут!

Подцепила я видимо вируса.... а может быть и нет.

Открыла какую-то страничку через гугл, стали пачками раскрываться ужасные сотни окон и я сделала быстренько мануальный ресет. Но перед тем заглянула в таск-менеджер и заметила в нем бегущие сотни строк route.exe. Ага - подумала я - вот она, зараза. После перезагрузки сделала апдейт своего родного антивируса Avira Antivir (почему-то в опросе его не упомянуто). И проверила комп. Вроде всё чисто, ничего не поймалось. И таск-менеджер ничего лишнего не показывает, всё по минимуму, всё я понимаю что.

А сейчас вот включила комп и сделала Ctrl-Alt-Del на ранней стадии, пока еще не все программы загрузились. И вижу! Хоп - целый экран этих самых route.exe - буквально в мгновение ока показались и исчезли. И нет их. Но на долю секундочки они там были. Видимо маскируются как-то от таск-менеджера, но не мгновенно... Авира опять ничего не увидела.

Никаких глюков в компе не замечаю, все программы ведут себя как обычно. Но боюсь, заразка сидит в нутре. Кто-то из вас сталкивался с этим? И если да - то как лечиться? Может какой бесплатный антивирь лечит? (Касперского пожалуйста не предлагать, от него самого трудно вылечиться : )

Я нашла два файла route.exe, вот тут:

c:\WINDOWS\system32\dllcache\route.exe
c:\WINDOWS\system32\route.exe

Нашла и в регистре кой-какие записи. Я бы убила это руками, но вдруг это не вирус, а что-то полезное?

Буду очень благодарна за помощь и совет.

Сообщение отредактировал Molly - 10.07.10 - 18:12

[DHead]

>> Molly:
   Сама в этом несильно разбираюсь, так что могу дать только один разумный совет: воспользуйтесь утилитой Dr.Web CureIt!. Меня она уже много раз выручала 

[Mechanical Lover]

>> Molly:
route.exe - давно известный троян из семейства вымогателей. Но удалять сам файл - бесполезно, возродится. Фокус с данной дрянью в том, что надо загрузиться в защищенном режиме и удалить папку Prefetch 3, найдя ее в папке выньдоз. Лучше на всякий случай предварительно заархивировать. А заодно проверить файл C:\Windows\System32\drivers\etc\hosts, оставив там только строчку "127.0.0.1 localhost".
Сам файл route.exe - это по идее системный TCP/IP маршрутизатор. Он может быть подменен трояном, а может быть просто перемещен, так что удалять его и чистить реестр следует осторожно.
А если еще проще - то, насколько я помню, AVZ4 вполне успешно справляется с конкретно этой пакостью (и с большинством подобных). Маленькая и бесплатная утилитка.
И в целях увеличения грамотности населения - немного теории по данному предмету.

ЗЫ: По поводу каспера - полностью согласен, просто скачанный или купленный антивирус - богомерзкая дрянь, ничуть не лучше некоторых троянов (да и использует в точности те же самые методы для вымогания денег у населения). Но грамотно крякнутый KIS2010 превращается во вполне годную весчь.

Сообщение отредактировал Mechanical Lover - 09.07.10 - 18:59

[Molly]

>> DHead: спасибо!!

>> Mechanical Lover: Замечательный ответ, как вы всё здорово растолковали - и диагноз, и рецепт лечения! Вы опять меня спасаете, как и год назад! : )

Вот только у меня такое подозрение, что заразко блокирует доступ к некоторым сайтам. Например второй день не открывается сайт Avira Antivir (а апдейт я делала не нормальным образом, а скачав зип мануального апдейта - у него такой хитрый адрес, что видимо зараза его заблокировать не догадалась). Ну так вот, оба линка которые вы дали - и на AVZ4 и на "увеличение грамотности" - не открываются. Гугл дает много линков на AVZ4, но нет ни одного сайта, который бы я сходу знала - а скачивать антивирусную утилиту с неизвестных мест типа "многохалявныхфайлов.ру" - это риск подцепить еще более мерзкую заразу... самое милое дело, впарить троянчег в софт который якобы должен убивать троянчеги. Вот например, можно отсюда скачать: http://mirsofta.ru/index.php?id=1217317627 Вроде на вид место приличное (но всё равно боязно). Так-то я обычно что скачиваю, сразу проверяю Авиркой - но route.exe Авирка не поймала, потому я уж ей теперь не доверяю. А жаль, такой славный антивирь, жаль что он не всё ловит...

Может быть вы прислали бы мне AVZ4 мылом, если он не очень большой? hlervu @ yandex ru
Или выложили бы куда-нибудь...

Папки Prefetch 3 у меня не видно в Safe mode. Есть только папка Prefetch, и там есть файл ROUTE.EXE-371D32DE.pf и еще много страшных файлов. Но я ее не трогала, т.к. номера 3 на ней нету. C:\Windows\System32\drivers\etc\hosts чист, там только "127.0.0.1 localhost". В общем единственное, почему я знаю что заразо сидит - если после загрузки винды, как только появился рабочий стол, сразу нажать Ctrl-Alt-Del то стабильно показывает целый экран роутов.ехе, которые через полсекунды исчезают.


СПАСИБО ЗА ПОМОЩЬ!!!!


Сообщение отредактировал Molly - 09.07.10 - 20:44

[Mechanical Lover]

http://slil.ru/29448378 - специально для вас только что залитая мной на файлохранилище с авторского сайта. Хотя... та еще рекомендация, учитывая то, что сюрпризов и я вполне мог добавить =)

Найденная вами папка является служебной для вынь, но указанного вами файла в ней не должно быть. Т.е. у вас он не создавал свою, а влез в служебную. Так что, если будете чистить вручную, сделайте архивную копию, какие-то файлы там могут оказаться нужными. А какие еще файлы, кроме указанного вами, принадлежат данному трояну, я просто не помню Надо лезть в справочники.

Сообщение отредактировал Mechanical Lover - 09.07.10 - 20:51

[Molly]

"Хотя... та еще рекомендация, учитывая то, что сюрпризов и я вполне мог добавить =)"

Ну, должна же я КОМУ-ТО доверять в этой жизни? : )))) Полный параноик обречен на одиночество, а это тоже неинтересно.

(А если вы туда подсадили сюрприз, пусть вам будет стыдно :р ).

добавлено Molly - 09.07.10 - 20:50
ЗЫ: Там еще в Префетче ОЧЕНЬ много файлов RUNDLL32.EXE-12E27DD0.pf (с разными номерами)

И я теперь вижу, что оно и правда блокирует сайты: раз вы легко скачали с авторского сайта, значит он не лежит, он только у меня не открывается.

[Mechanical Lover]

А учитывая то, что троян блокирует антивирусные сайты, и вы скорее всего не сумеете обновить AVZ, вот залил вам и пакет обновлений для него http://slil.ru/29448407

[Molly]

Спасибо огромное, скачала, запустила!

[Mechanical Lover]

Кстати, троян может блокировать и запуск антивирусных утилит. Тогда можно попробовать это сделать из защищенного режима (хотя это полезно в любом случае, если защищенный режим не заблокирован трояном), а если не поможет - тогда только качать какой-нибудь образ LiveCD (на чистом компе, ессно), записывать его на болванку, добаить туда AVZ и на вашем компе загружаться с него.

Сообщение отредактировал Mechanical Lover - 09.07.10 - 21:48

[Molly]

АВЗ работает, но пока ничего не поймал. Так что есть подозрение что всё-таки троян с ним что-то мутит по ходу...

Спасибо что сказали про сейф моде, я не догадалась, запустила просто так. Если троян не поймается, попробую еще раз из сейф мода. А чистого компа в доступности в ближайшее время нету, к сожалению.

Просто записать АВЗ на болванку с моего компа - смысла не имеет наверное?

[Mechanical Lover]

Конечно не имеет, поскольку нужен загрузочный диск с чистой операционкой и неизгаженым антивирем.
Кстати, предложенный DHead дрвебовский антивирь тоже совсем невредно испробовать.

И когда прибьете своего питомца, вы почитайте, почитайте ту ссылку, которую я дал. Если бы люди, пользующиеся компьютерами, не ленились хотя бы в общих чертах понимать, что они делают, вирусы помирали бы не успев распространиться.

[Molly]

В опщем, никаких "вредоносных программ" не найдено. Вот что в логе отмечено красным:

Функция NtCreateKey (29) перехвачена (80623786->B8762BD6), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (805D0FD4->B8762BCC), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteKey (3F) перехвачена (80623C16->B8762BDB), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeleteValueKey (41) перехвачена (80623DE6->B8762BE5), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadKey (62) перехвачена (80625982->B8762BEA), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (7A) перехвачена (805CB3FC->B8762BB8), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (80) перехвачена (805CB688->B8762BBD), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C1) перехвачена (80625832->B8762BF4), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (CC) перехвачена (8062513E->B8762BEF), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80621D0C->B8762BE0), перехватчик не определен
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 10, восстановлено: 10
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00093D84
Disable callback OK

(...)

9. Мастер поиска и устранения проблем
>>  Обнаружен статический маршрут к сайту производителя антивируса
!!! Внимание !!! Восстановлено 10 функций KiST в ходе работы антируткита

Мда. Не поймалсо... Чувствую, кончится всё форматированием диска... а у меня срочная работа и через два дня командировка : ((( и комп нужен, и времени на переустановку всех программ нету (это как раз, по старой памяти, и занимает пару тройку дней жизни).

Скажите, этот роуте - насколько он опасный? Вы говорите, вымогатель - в каком смысле? Что будет, если его просто терпеть - во всяком случае пару дней, до тех пор пока у меня не появится время всю винду снести нафиф? Если он тырит пароли, так он наверно уже стырил всё что ему надо...

[Mechanical Lover]

Если это классический route, а не один из его клонов, то как и все RANSOM-семейсвто он должен выводить вам на рабочий стол или в браузер сообщения с грозными надписями, что ваш компьютер заражен, и если вы немедленно не отправите смс на указанный короткий номер - то вам грозит уничтожение всех данных на компьютере, пожар в сортире и внематочная беременность.
Но это по идее, поскольку именно данный троян написан вовсе уж дебильным быдлокодером, то на большинстве компов он банально не работает, или выдает системную ошибку. Но совсем не исключено, что у вас какая-то модификация. Поэтому я вам настоятельно рекомендую из защищенного режима заархивировать папку Prefetch и файлы route.exe, перенести их в другое место, а в каталоге вынь - удалить нафиг, поскольку критических данных она в любом случае не должна содержать, являясь кэшем автозапуска.
Если после перезагрузки возникнут системные ошибки - восстановить из архива на место несложно, а чистый route.exe если что, пришлю вам я (от XP SP3)

добавлено Mechanical Lover - 09.07.10 - 22:23
Да, чуть не забыл, там же, в защищенном режиме, после того как сотрете папку и исполняемый файл, через меню "Выполнить" запустите regedit и выполните в нем поиск route.exe, и если упоминение о нем встретится еще где-нибудь, кроме HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 - удаляйте нафиг. И в этом месте тоже можно удалять, поскольку это просто лог. А системных ключей в реестре быть не должно.


добавлено Mechanical Lover - 09.07.10 - 22:48
Хотя наверное лучше даже не так, а просто из защищенного режима очистить папку Prefetch, поскольку троян запускается именно из нее. А все необходимые системные файлы туда должны будут переписаться сами при следующей перезагрузке. И она постепенно будет заполнятся сама, как и любой кэш, и как любой кэш чистить ее время от времени полезно. А поскольку конкретно это - кэш автозапуска, то и необходимо.
Файл route.exe, находящийся в system32 скорее всего остался настоящий, но на всякий случай можно переписать. Вот чистый от XP SP3 http://slil.ru/29448733 если у вас другая ось - поищите у кого-нибудь.
Папка system32\dllcache как раз и является одним из аварийных кэшей (требуется при откате или деинсталяции обновлений выньдоз), поэтому ее тоже можно смело очистить.


добавлено Mechanical Lover - 09.07.10 - 23:13
В общем, я не знаю как еще подробнее объяснить удаление одного из самых дебильных представителей самого дебильного семейства троянов, и без того рассчитанного исключительно на владеющих пасьянсом "косынка" бабушек. Надеюсь, вам мои объяснения помогут.

Сообщение отредактировал Mechanical Lover - 09.07.10 - 22:36

[Molly]

Здорово!!! Большое спасибо, попробую вручную все сделать как вы пишете. Вы очень понятно объясняете про кэш : )

АВЗ4 из сейф моде тоже ничего не поймал. ("Защищенный режим" = safe mode, да? У меня английская винда).

Никаких грозных надписей у меня нет, никаких ошибок не выскакивает - вообще комп себя ведет совершенно невинно. Я бы ни за что не догадалась, что заражен! Единственное проявление - блокировка антивирусных сайтов. Да еще таск менеджер сразу после загрузки винды показывает в процессах много route.exe, потом они исчезают.

Да, у меня именно XP SP3 - и кстати, в свое время именно на этом замечательном форуме мне и посоветовали ее, и дали дистрибутив : )). Elder Scrolls - это могучая сила! : ))

Еще раз уточним порядок действий:

1) Загружаю винду в Safe mode
2) Убиваю всё содержимое папки Prefetch
3) Убиваю route.exe из папки c:\WINDOWS\system32\dllcache\ (может тоже очистить ее всю?)
4) Нахожу через regedit все места, где упоминается route.exe и убиваю все эти ключи
5) Скачиваю ваш route.exe и заменяю им c:\WINDOWS\system32\route.exe
(от блин, а я из сейф моде не могу запустить интернет, даже из Safe mode with networking - то есть надо скачать сейчас из нормальной моды.... очень надеюсь, что он не подменится на лету, в конце концое не совсем же всесилен этот троян? хотя его всесторонняя предусмотрительность впечатляет!)

добавлено Molly - 09.07.10 - 23:21

   Сама в этом несильно разбираюсь, так что могу дать только один разумный совет: воспользуйтесь утилитой Dr.Web CureIt!. Меня она уже много раз выручала 

Хых : ). Всё учтено могучим ураганом. Этот сайт тоже блокирован.

Нет, не надо ругать троянец дебильным, он явно сделан параноиком, который методично обрубает все пути лечения.

Сообщение отредактировал Molly - 10.07.10 - 14:50

[Mechanical Lover]

Я и говрю - если это не модификация, то надписей и не будет, из-за криворукости написавшего данный троян быдлокодера. Порядок удаления - верный. Папку dllcashe очистить можно всю - зачем вам на винте полгига мусора? Она потом опять будет заполняться. Файл скачайте заранее, но в какую-нибудь другую папку. Перенесете в системную с заменой из сейфмода. Хотя это, как я сказал, скорее всего излишняя предосторожность. Не забудте очистить корзину перед перезагрузкой в нормальный режим.

[Molly]

Спасибо! Фсё, пошла в сейф моде....

(Я удаляю файлы через Коммандер, и прямо сразу нафиг, без корзины. И вообще все операции с файлами оттуда делаю, виндовский проводник мне не нравится).

[Mechanical Lover]

А, черт, все можно было объяснить и намного короче, но, похоже, привычка старого наладчика неистребима - наговорить клиенту как можно больше умных слов по поводу любой самой элементарной задачи, и содрать с него соответствующую высшей сложности плату

[Molly]

Так, отчитываюсь.

Всё сделала по прописям. Результат 50%-ный : )). Теперь при Ctrl-Alt-Del после загрузки не видно никаких route.exe, и это плюс. Упомянутые в теме ссылки на два антивиря и сайт для грамотности, а также http://avira.com по-прежнему не открываются. И это минус.

Вы очень понятно всё объяснили, во всяком случае мне кажется что я поняла что вы пишете.

Насчет вредоносности: получается, что троян вообще практически безвреден: единственное что он делает, это требует прислать ему денег - да и то не у всех, ибо написан криво. Если так, то можно его и потерпеть (хотя блокировка сайтов неприятна). Наверное он чего-то где-то так модифицировал, чтоб их блокировало, так что даже если сам троян убит, следы жизнедеятельности где-то остались...

добавлено Molly - 09.07.10 - 23:54
А БЛИН!!!!!!

Вот щас еще сделала regedit из нормальной моды, и там пара ключей указывает на то место, куда я скачала ваш route.exe (на диск Д ваще). Плюс, прикиньте! - на сохраненный html-ник вот этой самой темы в той же папке на диске Д! Офигеть.

Не...... эту заразу так просто не вытравишь.....

Кроме того, вот еще что в регистре есть:
My Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\MUILanguages\RCV2\route.exe

А этого ключа не было, когда я убивала ключи в сейф моде. И конечно, не было тех ключей которые указывали на скачанный роуте! Это новые всё.

добавлено Molly - 10.07.10 - 00:15
Так, блин. Из сейф моде в регедите вот этот вот ключик не виден: My Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\MUILanguages\RCV2\route.exe
Оттуда вообще ни одного ключа с  route.exe не видно. В Prefetch опять появился route.exe, я опять очистила. При загрузке в нормальной моде в списке процессов route.exe не появляется (я несколько раз проверяла, ни на миг не появляется). Из нормальной моды regedit больше не показывает ключа My Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\MUILanguages\RCV2\route.exe (хотя я его не убивала!). То что меня так напугало, указания на скачанный route.exe и сохраненный хтмльник - это ничего страшного, это какие-то указания на последние сохраненные или открытые файлы (там также всякие скриншоты которые я делала и прочее - в общем это не опасное). Я на всякий случай всё равно прибила.

Но антивирусные сайты так и блокированы.

Сообщение отредактировал Molly - 10.07.10 - 14:51

[Mechanical Lover]

Естественно сайты остались заблокированными, измененне трояном выньдовые настройки вы не исправили. Если файл hosts у вас пуст - запустите cmd и выполните команду "route -f", это очистит список маршрутов, после чего перезагрузите комп. Может потребоваться пересоздание подключения к инету.

На данную ветку реестра не обращайте внимания. Ключ там появился после того, как вы скачали файл. А после того, как выполните команду - появится еще в паре мест. Наплюйте, трояна вы уже убили.

Не стоит недооценивать вредоносность таких троянов - они вполне способны сделать (и делают, иначе как бы они вымогали деньги) работу на компе абсолютно невозможной, блокируя системные ресурсы и браузер.

Сообщение отредактировал Mechanical Lover - 10.07.10 - 00:19

[Molly]

Естественно сайты остались заблокированными, измененне трояном выньдовые настройки вы не исправили. Если файл hosts у вас пуст - запустите cmd и выполните команду "route -f", это очистит список маршрутов, после чего перезагрузите комп. Может потребоваться пересоздание подключения к инету.

Не получилось, по-прежнему блокировано. Кроме того те сайты которые загружаются, стали загружаться во много раз медленней. Проверила свойства TCP/IP, там правильные IP и DNS, а больше я даже не знаю где и проверять...

Кстати, есть ли способ перезагружаться в сейф моде как-то по-другому, чем лупить F8 много раз подряд во время загрузки? Реально приходится нажимать десятки раз, чтоб сработало - иначе если пропустишь нужный момент, загрузится нормальная винда.

В регистре больше никаких ключей с route.exe не появилось. А вот в папке Prefetch опять появился многократно очищенный route.exe... чето у меня нет уверенности, что троян убит.

Сообщение отредактировал Molly - 10.07.10 - 14:51

[Mechanical Lover]

[/QUOTE]В папке Prefetch он закономерно появился после того, как вы его запускали. Это должна быть кэш-копия нормального файла.

Раз вы скачали AVZ, запустите его и выполните следущий скрипт:

begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'net_cure1');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
RegKeyCreate('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes');
end.

После чего снова перезагрузитесь.

Ну или просто через regedit поудаляйте все, что содержится в 'HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes'
Там конечно могут быть и нужные ключи, например требующиеся для подключения к инету у некоторых провайдеров, но маловероятно.

Если не поможет, там же в AVZ выполнить скрипт

begin
ExecuteRepair(20);
RebootWindows(true);
end.

Сообщение отредактировал Mechanical Lover - 10.07.10 - 00:54

[Монти Пайтон]

Ну я не сильно во всем этом разбираюсь но:
Стоял Панда. Замечательный антивир. Только "пробник" через чур часто ноет про "приобретение" лицензионной версии
Стоял Нод. Не плохой но мне как то не по вкусу пришелся
Стоял Кашпер - с ним всё сильно тормозит


Мой выбор -  1. Avast antivirus

[Molly]

>> Mechanical Lover: Мне нравится, как мы с вами работаем, с одинаковой скоростью: как только я сделаю очередную операцию и она не помогает, открываю темку - а там уже написано "если не помогло, то..." : )

Спасибо, я очень ценю сколько вы времени на это тратите!

(пошла применять очередной рецепт : )

добавлено Molly - 10.07.10 - 01:03
.... Не-а.... ничего не помогло. Сделала по очереди, всё что вы писали, сайты по-прежнему блокированы.

(Интересно, что http://kaspersky.ru блокирован, а http://avast.com - нет : ).

Сообщение отредактировал Molly - 10.07.10 - 01:04

[Mechanical Lover]

Ладно, тогда вот еще скриптик. Судя по всему, одним трояном дело у вас не ограничивается. Развели целый зоопарк.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3680695a.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\9SAz66V.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\9SAz66V.exe');
DeleteFile('C:\WINDOWS\system32\3680695a.exe');
DeleteFile('%system32%\9SAz66V.exe');
QuarantineFile('c:\windows\system32\P09Zeuq.exe','');
DeleteFile('c:\windows\system32\P09Zeuq.exe');
QuarantineFile('C:\WINDOWS\system32\3a795aea.exe','');
DeleteFile('C:\WINDOWS\system32\3a795aea.exe');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Сообщение отредактировал Mechanical Lover - 10.07.10 - 01:06

[Molly]

Ой. И это всё у меня было?! Ужс.

По сабжу: похоже пора менять любимый антивирь. Если Avira не поймала такое изобилие, это уже пожалуй непростительно. >> Mechanical Lover: что бы вы посоветовали из бесплатных? Так на вид вроде Avast приятно смотрится...

И кстати.... вы будете смеяться.... но всё равно не помогло. Хотя теперь - ура, ура! - открывается kaspersky.lab : ))))
Остальные сайты, упомянутые в теме не открываются.

Из файрфокса просто не открываются. А вот из IE - интересное кино, avira.com перекидывает на какой-то мутный урлосборник bing.com .

БЛИН! IE сам собой закрылся, и более не открывается : ))) похоже я цепанула еще одно жывотное прямо щас...

Сообщение отредактировал Molly - 10.07.10 - 14:52

[Mechanical Lover]

Без паники. Последний скрипт просто выполнял поиск известных троянов и файловых вирей, замеченных в таком поведении. Начинаем поиск неизвестных.
Для начала, раз у вас заработал сайт каспера, качните у них одноразовую бесплатную утилиту Kaspersky Virus Removal Tool и проверьте систему ей. Если не поможет, я залью вам CureIT. Если вирь совсем новый, тогда придется искать его вручную, скрупулезно проверяя реестр.

добавлено Mechanical Lover - 10.07.10 - 01:56
Да, кстати, а вы в AVZ выполняли только сканирование? Если да, то начните с того, что в меню "файл -> восстановление системы" отметьте пункты... а, отметьте все и выполните.

Если ничего не помогло, то там же в AVZ выполните "исследование системы" и пришлите мне сохраненный ей протокол в html-виде.

И вы команду route -f точно нормально выполнили? Все равно, после всех этих операций выполните еще раз.
Не забывайте перезгружаться после каждой операции.

Сообщение отредактировал Mechanical Lover - 10.07.10 - 01:56

[Molly]

Сейчас при перезагрузке, сделав контрольный выстрел тремя пальцами я обнаружила в списке процессов route.exe (один, а не десятки как раньше), он быстро исчез. Цой жив...

Также, новый глюк (то есть может и не новый, но только сейчас замечен). Странно работает IE: при нажании через Пуск ничего не происходит, при повторном нажатии - открывается. Если закрыть и снова попытаться открыть, открывается опять только со второго раза. Не знаю, насколько это давно, т.к. ИЕ не пользуюсь - вот только пришло в голову попробовать.

Насчет того зоопарка, который был в скрипте: что-то из него точно у меня было, потому что при прогоне скрипта там вылезло много красных строчек. Правда рассмотреть не успела, т.к. там в конце перезагрузка.

AVZ на сканирование запускала много раз, сперва дважды оба диска (это еще до мануальной чистки route.exe), потом несколько раз диск С. Вот сейчас последний раз запустила, поставив в сканировании все настройки на максимум (типа, "все типы файлов" и т.д.) - ничего не поймалось, но опять закрыто 10 перехватов и опять "статичный канал к сайту производителя антивируса". В общем, как при самом первом сканировании (я там цитировала эти красные строчки).

route -f выполнила дважды. Никаких мессаджей не выскочило, просто после небольшой задержки опять появился command promt.

"качните у них одноразовую бесплатную утилиту Kaspersky Virus Removal Tool" - линк тоже не открывается.

Сейчас сделаю восстановление и исследование из AVZ.

добавлено Molly - 10.07.10 - 02:05
ЗЫ: Насколько это важно: "Восстановление настроек рабочего стола" - у меня там дофига своих настроек, не хотелось бы без нужды их сбивать...

Сообщение отредактировал Molly - 10.07.10 - 14:52

[Mechanical Lover]

Настройки рабочего стола - не важно, если ваш питомец ничего вам на нем не заблокировал.
CureIT http://slil.ru/29449156
Каспер часть 1 http://slil.ru/29449163
Каспер часть 2 http://slil.ru/29449169

После проверки ими (начать лучше с каспера), снова можно выполнить восстановление системы в AVZ.

Исследование системы выполните и пришлите, если оба антивиря не поймают вашего домашнего любимца.

ЗЫ: Млин, игровой форум превратили в службу техподдержки. Ладно, хоть какое-то развлечение в этом балагане.

Сообщение отредактировал Mechanical Lover - 10.07.10 - 02:26

[Molly]

УРААААААААААААААААААААААА!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

РАБОТАЕТ!!!!!!!!!!!

Помогло, помогло лечение! : )))))

После восстановления из AVZ все сайты открылись.

Правда при Ctrl-alt-del сразу после перезагрузки опять множество route.exe . Видимо отпять откуда-то размножились.

А ИЕ теперь не открывается вообще. Просто часики некоторое время, и всё. В общем какой-то зверек всётки сидит. Ну ничего, я щас попробую еще утилитками Др Веба и Касперского прогнать.

Сообщение отредактировал Molly - 10.07.10 - 14:53

[Mechanical Lover]

См. выше