84 ответов в этой теме

[Шелл]

Ситуация следующая:
Была словлена модификация Winlock.97 (по крайней мере фасады у них похожие), после длительных и затяжных боев вирус был убит, файлы уничтожены, реестр почищен. (предвосхищая вопросы, проверил все пункты, где он мог отметиться). Файлы отправить в вирлаб не смогу - уже убиты. Компьютер перепроверен CureIT, KasperskyVirusRemover, AVZ.
Так же был выловлен вирус Trojan.Win32.Fregee.e, и тоже вычищен (опять же вручную, вычищен по всем пунктам).

После этого диски проверены CureIT от сегодняшнего числа. Вирусов не обнаружено.

А теперь проблема. С компьютер нельзя открыть ни один из сайтов антивирусных программ, microsoft.com и (как не смешно) diary.ru.

В приложении логи CureIT, Hijack, Rku.

Прикрепленные файлы:

•  cureit_results.cab   129,85К   46 Скачано раз
•  hijackthis.log   18,58К   73 Скачано раз
•  Report.txt   43,66К   43 Скачано раз

Сообщение было изменено Шелл: 23 Январь 2010 - 17:58

[PAUK]

Обязательно проверьте файл host на наличие изменений!
Можно так: %SystemRoot%\system32\drivers\etc\hosts
Эту строку - прямо в адресную строку проводника и открыть блокнотом,
содержимое файла должно выглядеть так:

ДЛЯ Win XP:
# © Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

ДЛЯ Win 7:
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

[Шелл]

Первоначально в хосте действительно было прописано куча запрещающих сайтов, но еще на этапе вычистки Winlock, он был очищен. Сейчас он выглядит так:



# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# This HOSTS file created by Dr.Web Scanner for Windows

127.0.0.1 localhost

[PAUK]

Что покажет LSP-Fix ?

[Шелл]

"Проблем не найдено."

Прикрепленные файлы:

•  lsp_fix.jpg   81,06К   29 Скачано раз

[PAUK]

ЭТО Ваше?
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C924ACB-05F2-4D00-BBFF-3B5232264C26}: NameServer = 213.234.192.7,85.21.192.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E13F0F0-ED24-4E45-BD1D-D4C029ACF155}: NameServer = 111.112.113.114,211.212.213.214
Это можно фиксить
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
А как не заходит? Что пишет-непишет?

[Шелл]

ЭТО Ваше?
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C924ACB-05F2-4D00-BBFF-3B5232264C26}: NameServer = 213.234.192.7,85.21.192.5

В смысле мое?
Эта строка, если я не путаю ДНС Корбины

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E13F0F0-ED24-4E45-BD1D-D4C029ACF155}: NameServer = 111.112.113.114,211.212.213.214

Это не знаю

Это можно фиксить
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)

Ок, спасибо

А как не заходит? Что пишет-непишет?

В браузере пишет страница не найдена.
По tracert запрос на заблокированный вообще никуда не отправляется, хотя должен в первую очередь идти на роутер.

[PAUK]

Ну если у Вас есть AVZ - воспользуйтесь восстановлением настроек SPI/LSP...

[PAUK]

111.112.113.114 -КИТАЙ ,однако Фиксите!
211.212.213.214 -Ю.Корея

[Шелл]

Пофиксил всё посоветованное - пока безрезультатно.

[Шелл]

Ну если у Вас есть AVZ - воспользуйтесь восстановлением настроек SPI/LSP...

AVZ проверил, ошибок не обнаружено.

[Borka]

Проверьте:
c:\windows\system32\drivers\uti4odmw.sys
c:\windows\system32\drivers\zdpsp50.sys

А пинги на заблокированные сайты ходят?

[Шелл]

Чем проверить? Антивирусом или отослать на проверку?
c:\windows\system32\drivers\uti4odmw.sys - такого файла не нашел.

Сайты не пингуются.

[Borka]

Чем проверить? Антивирусом или отослать на проверку?
c:\windows\system32\drivers\uti4odmw.sys - такого файла не нашел.

На ВирусТотал. Файл
23-Jan-10 02:09 7,168 uti4odmw.sys
есть.

Сайты не пингуются.

Как не пингуются?

[Шелл]

А вот нету его, смотрю, но его нет.

А вот так не пингуются, пинг не проходит.

[Borka]

А вот нету его, смотрю, но его нет.

http://wiki.drweb.com/index.php/%D0%A1%D0%...%81%D1%81%D1%8B

А вот так не пингуются, пинг не проходит.

Что значит "не проходит"? Таймаут? Не резолвится? Ну что, трудно показать вывод пинга?

[Шелл]

c:\windows\system32\drivers\zdpsp50.sys

http://www.virustotal.com/ru/analisis/faaa...330c-1260726508

Исправления при помощи AVZ не помогли.

[bvas]

Шелл

А теперь проблема. С компьютер нельзя открыть ни один из сайтов антивирусных программ, microsoft.com и (как не смешно) diary.ru.

СОЧЕТАНИЕ КЛАВИШ ctrl+alt+Del(ete) работает???
Если работает,то в браузере сбросте настройки по умолчанию для IE
Пуск-панель-свойства обозревателя-дополнительно-сброс

[Шелл]

А вот нету его, смотрю, но его нет.

http://wiki.drweb.com/index.php/%D0%A1%D0%...%81%D1%81%D1%8B

Сделал по инструкции, файла в указанных местах нет.

А вот так не пингуются, пинг не проходит.

Что значит "не проходит"? Таймаут? Не резолвится? Ну что, трудно показать вывод пинга?

Сорри, ступил просто.

Таймаут по пингу идет.
Скрин в приложении.

Прикрепленные файлы:

•  ping.jpg   131,64К   47 Скачано раз

[Шелл]

Шелл

А теперь проблема. С компьютер нельзя открыть ни один из сайтов антивирусных программ, microsoft.com и (как не смешно) diary.ru.

СОЧЕТАНИЕ КЛАВИШ ctrl+alt+Del(ete) работает???
Если работает,то в браузере сбросте настройки по умолчанию для IE
Пуск-панель-свойства обозревателя-дополнительно-сброс

Работает, давно уже Polices поправил.
Сделал. Если после этого должно было заработать, то не заработало.