Printable View
При попытке открыть любой URL в любом браузере (IE9, Opera 11.52) появляется "IE не может отобразить эту веб-страницу", аналогично в опере.
Другие службы (обновления Windows, Skype) работают, пинги идут на доменные имена т.е. DNS работает
Подозреваю наличие некой "живности"... CureIt результатов не дал.
Помогите, пожалуйста, разобраться..
Уважаемый(ая) [B]alexig[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!!!
- [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в HijackThis:[/URL]
[CODE]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz[/CODE]
[URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL].
лог MBAM.
Вероятно, все что он обнаружил - удалять?
[size="1"][color="#666686"][B][I]Добавлено через 6 часов 21 минуту[/I][/B][/color][/size]
Уважаемые хелперы!
посмотрите, пожалуйста, логи MBAM из #4 ?
Удалите в MBAM все, кроме:
[CODE]
c:\Users\Комп\AppData\Roaming\thinstall\microsoft office enterprise 2007\300000003f00002i\CLVIEW.EXE (Trojan.IRCBot) -> No action taken.
[/CODE]
Выполните скрипт:
[CODE]
begin
SearchRootkit(true, true);
QuarantineFile('c:\Users\Комп\AppData\Roaming\thinstall\microsoft office enterprise 2007\300000003f00002i\CLVIEW.EXE','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится. Карантин прислать согласно правилам.
карантин загрузил
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
ситуация с браузерами не изменилась.
кроме того обнаружил что при попытке зайти на ftp в LAN выдает:
[CODE]
C:\Users\Комп>ftp 192.168.1.102
> ftp: connect :В подключении отказано
ftp> quit
C:\Users\Комп>ping 192.168.1.102
Обмен пакетами с 192.168.1.102 по с 32 байтами данных:
Ответ от 192.168.1.102: число байт=32 время=75мс TTL=128
[/CODE]
С другого компа в локалке служба FTP работает.
[CODE]Зараженные файлы:
c:\Users\Комп\AppData\Roaming\thinstall\microsoft office enterprise 2007\300000003f00002i\CLVIEW.EXE (Trojan.IRCBot) -> No action taken.[/CODE]
Это тоже удалите в MBAM.
оно же попало в карантин AVZ
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 40 минут[/I][/B][/color][/size]
удалил в MBAM.
все осталось по-прежнему. браузеры не могут открыть сайты. пинг до сайтов идет как по имени так и по IP.
повторное сканирование MBAM проходит успешно, инфицированных объектов не находит.
[URL="http://support.kaspersky.ru/viruses/solutions?qid=208636926"]Сделайте лог TDSS[/URL]
угроз не обнаружено
[size="1"][color="#666686"][B][I]Добавлено через 1 час 39 минут[/I][/B][/color][/size]
но проблема не решена
[quote="alexig;844902"]При попытке открыть любой URL в любом браузере (IE9, Opera 11.52) появляется "IE не может отобразить эту веб-страницу", аналогично в опере.[/quote]
По ip сайты открываются?
Повторите логи АВЗ и HijackThis.
[QUOTE=Techno;845236]По ip сайты открываются?[/QUOTE]
нет не открываются
Пофиксите в HijackThis:
[code]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - (no file)
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - (no file)
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteService('rweeoyiu');
DeleteService('occcmziw');
DeleteService('MpKsl23b7117d');
DeleteService('lhktvgpk');
DeleteService('grftsrmq');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Но это просто подчистка мусора, а так ничего плохого в логах не видно.
Попробуйте в [B]Свойствах обозревателя[/B] на вкладке [I]Дополнительно[/I] сделать [B]Сброс...[/B], включая личные настройки.
[QUOTE=Bratez;845276]сделать [B]Сброс...[/B], включая личные настройки.[/QUOTE]
сделал сброс. при первом после сброса запуске IE спросил про использование параметров безопасности и совместимости (относительно SmartScreen). и относительно браузера по умолчанию.
страницы так и не открывает.
в командной строке пинг на сайты по имени доходят (DNS и ICMP работают)
попытка соединиться с помощью ftp-клиента (команда ftp) выдает:
[CODE]> ftp: connect :В подключении отказано[/CODE]
в IE: не может отобразить эту страницу..
что же это может быть если все чисто.. последствия присутствия вируса? может в tcp\ip стеке что-то поломано?
Попробуйте [url]http://support.microsoft.com/kb/956196/ru[/url]
работоспособность восстановилась в безопасном режиме с сетевыми драйверами, однако выявить службу/приложение как описано в документе из #16 не удалось
[size="1"][color="#666686"][B][I]Добавлено через 1 час 40 минут[/I][/B][/color][/size]
т.е. если загрузиться в безопасном режиме с поддержкой сети - все работает.
далее я запомнил какие службы запущены в безопасном режиме.
и запустился в обычном режиме только с данными службами.
в таком варианте опять перестало работать.
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 48 минут[/I][/B][/color][/size]
при более детальном анализе запускающихся служб было обнаружено что в обычном режиме запускаются сетевые драйверы от symantec antivirus, который вероятно стоял раньше и был некорректно удален из системы.
после удаления этих модулей все заработало!
огромное спасибо всем!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]