Не открываются сайты

**Reposlav** · 08.07.2009, 10:38

Здравствуте!
Не открываются все сайты (не только антивирусные). Ася работает, ping и tracert нормально проходят как по доменному имени, так и по IP. В hosts была куча строк с 127.0.0.1. Снес их все. Не помогло. Аваст обновиться не может.
Сайты не открываются во всех браузерах (О, FF, IE6, Safari, Chrome). При проверке утилитой каспера нашлось несколько вирусов. Чистка от них не помогла.
В параметрах фильтрации TCP/IP никаких правил не задано. Отключение службы IPSEC ничего не дало.
Фаерфолл не стоит.
Помогите, пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 08.07.2009, 10:49

Отключите восстановление системы!!!
Пофиксите в Hijackthis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe,C:\WINDOWS\system32\twext.exe,
O4 - Startup: is-TE5EH.lnk = ?

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\pilov\Рабочий стол\scanner.exe','');
 QuarantineFile('E:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('mcenspc.dll','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('C:\WINDOWS\system32\3076w.exe','');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('mcenspc.dll');
 DeleteFile('C:\autorun.inf');
 DeleteFile('E:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузиться!!!
Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите Temp папки.
Сделайте новые логи по правилам.

**Kuzz** · 08.07.2009, 10:51

В дополнение:

Посмотрите, верны ли эти настройки:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.200.0.252:3128
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = seagroup.inc
O17 - HKLM\Software\..\Telephony: DomainName = seagroup.inc
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = seagroup.inc
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = seagroup.inc

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Систему обновлять надо.

**Reposlav** · 08.07.2009, 12:49

Отключите восстановление системы!!!
Пофиксите в Hijackthis:

Сделал.

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, запустите только AVZ и Internet Explorer.
Выполните скрипт в AVZ:

Сделал.

Посмотрите, верны ли эти настройки:

Да, здесь все верно.

Систему обновлять надо.

Исправлюсь!

Пока что проблема не решилась.

Карантин отправил как было написано.

Вот новые логи:

**Kuzz** · 08.07.2009, 13:52

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\pilov\Local Settings\Temp\tmp2.tmp');
 QuarantineFile('C:\WINDOWS\system32\3076w.exe','');
 DeleteService('NlaSSDPSRV');
 BC_DeleteSvc('NlaSSDPSRV');
 DeleteFile('C:\WINDOWS\system32\3076w.exe');
 DeleteFile('C:\Documents and Settings\pilov\Рабочий стол\scanner.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

2.Повторить логи

**Reposlav** · 09.07.2009, 13:22

Все сделал как сказали. Карантин загрузил как было сказано. Вот новые логи:

**Reposlav** · 10.07.2009, 15:21

Что дальше сделать?

**PavelA** · 10.07.2009, 16:29

Ответ из ЛК:

autorun.inf, scanner.exe_, vksaver.dll, WinSCP.com_

Вредоносный код в файлах не обнаружен.

**thyrex** · 10.07.2009, 16:43

Выполните скрипт в AVZ

Код:

begin
DeleteService('NlaSSDPSRV');
 DeleteFile('C:\WINDOWS\system32\3076w.exe');
ExecuteSysClean;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделать новые логи AVZ

**Reposlav** · 13.07.2009, 11:36

Сделал.
Вот новые логи:

**PavelA** · 13.07.2009, 11:40

еще один вылез подозрительный. Выполнить скрипт.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 QuarantineFile('C:\RECYCLER\S-1-5-21-733845894-2286977692-673177841-2448\Dc15.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-733845894-2286977692-673177841-2448\Dc15.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать карантин.
сделать новый ло по станд. скрипту №2

**Reposlav** · 14.07.2009, 11:52

Сделал.

**Reposlav** · 15.07.2009, 11:43

Что дальше сделать?

**PavelA** · 15.07.2009, 13:21

Прокси в настройках Ваша?

**Reposlav** · 15.07.2009, 13:57

Да, прокси наша.
Странно. Нашел один открывающийся сайт. Да еще локальные сайты открываются нормально.
Сначала думал, что заблокирован HTTP-траффик, но похоже, что нет.