Не подключается интернет..., вирусов нет, их удалили вместе с mswsock.dll, а руткит есть(?!)

Здравствуйте, приятель принес компьютер, на который я сам (года два назад) ставил ему Comodo...,
наверное, около года, приятель не подключался к интернет... (использовал для этого второй компьютер)
И вот, принес сразу два компьютера ...на втором 5 штук вирусов, а на этом НЕТ! Точнее CureIt (даже при загрузке с LiveUSB) ничего не находит.
Мои попытки подключиться к сети выявли, что и я не могу подключить этот комп. ...нет библиотеки mswsock.dll (раньше была..., значит ее Comodo снес ? Посмотрел в карантине, там он, голубчик... запись аж от 6 марта 2011
Backdoor.Win32.PcClient.~a@97069727)
Решил, наконец, попробовать AVZ... прочитал инструкцию, прогнал третий скрипт..., увидел там страшные сообщения типа: "[FONT=monospace]Код руткита в функции CopyFileA нейтрализован...[/FONT]", самовосстанавливающийся "[FONT=monospace]C:\autorun.wsh[/FONT]"
В Comodo все сервисы (предварительно) перевел в режим "нективен"
Перегрузился, прогнал скрипт снова, увидел эти "страшные сообщения"... Понял, что мой вопрос: "Где скачать новый mswsock.dll дл Windows XP" - это только начало...
так что, посылаю пока только два файла...

Уважаемый(ая) [B]Altersego[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE]В Comodo все сервисы (предварительно) перевел в режим "нективен" [/QUOTE]
Посмотрел "страшные логи", [FONT=monospace]cmdguard.sys (Comodo) все равно все перехватывает. Попробовал остановить службу (в диспетчере задач), не не слушается. Они (антивирусы), насколько помню все такие...
[/FONT]Как их останавливать (и стоит ли)?

[URL="http://rghost.ru/41170352"]mswsock.dll[/URL] [B]C:\autorun.wsh[/B] запакуйте в архив с паролем virus пришлите по ссылке вверху темы Прислать запрошенный карантин. [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL]

[quote="Altersego;934987"]Посмотрел "страшные логи", cmdguard.sys (Comodo) все равно все перехватывает.[/quote]
+ видно C:\Program Files\Norton Internet Security\Norton AntiVirus

Как в фильме горец, антивирус должен остаться только один.

- обновите базы AVZ

- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

[QUOTE=mrak74;934998][URL="http://rghost.ru/41170352"]mswsock.dll[/URL] [B]C:\autorun.wsh[/B] запакуйте в архив с паролем virus пришлите по ссылке вверху темы Прислать запрошенный карантин. [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL][/QUOTE]

1.Благодарю за ссылку, файл [URL="http://rghost.ru/41170352"]mswsock.dll[/URL] встал, как родной (закачал 300мб обновлений).
2. [B]C:\autorun.wsh отправил [/B]Файл сохранён как 121029_155320_virus_508ea670e9ea4.zip Размер файла 639 MD5 5490aa848d066ef6d80a2d7a8ed254a5
3. Логи полного сканирования (2 файла 1)для диска С:\ и 2)флешки) прикрепляю.
4. Поскольку обновлялся и чистил реестр (удалял ошметки BHO для Norton антивирус из IE), прикрепляю и повторные логи AVZ и Hijackthis.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=regist;935005]+ видно C:\Program Files\Norton Internet Security\Norton AntiVirus
Как в фильме горец, антивирус должен остаться только один.
- обновите базы AVZ
- Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.[/QUOTE]


Предустановленному в вместе с Windows антивирусу Norton я лично "отрубил голову" два года назад, когда ставил на этот комп. Comodo...
Помню точно, поскольку он тогда "не хотел умирать", и мне пришлось долго искать его родную утилиту-деинсталлятор на сайте semantec... Вот последняя [URL="https://www-secure.symantec.com/norton-support/jsp/help-solutions.jsp?docid=20080416102657EN&lg=english&ct=united+states&product=home&version=1&pvid=f-home&entsrc=redirect_pubweb"]версия деинсталлятора[/URL] (может, кому пригодится)
В логах Hijack... вы увидели (точнее, я нашел только) ссылки на BHO Internet Explorer, почистил реестр ручками, [URL="http://www.ehow.com/how_5921042_delete-bho-internet-explorer.html"]вот так[/URL]


Процедуру проверки исполнил:
Файл сохранён как 121029_164128_virusinfo_files_YOUR-CC5F3F710B_508eb1b8c30c5.zip
Размер файла 248887
MD5 2bd8857723abe6e81e807b320c2b1d98

[ATTACH]383139[/ATTACH][ATTACH]383140[/ATTACH][ATTACH]383141[/ATTACH][ATTACH]383142[/ATTACH][QUOTE=mrak74;934998][URL="http://rghost.ru/41170352"]mswsock.dll[/URL] [B]C:\autorun.wsh[/B] запакуйте в архив с паролем virus пришлите по ссылке вверху темы Прислать запрошенный карантин. [URL="http://virusinfo.info/showthread.php?t=53070"][B]Сделайте лог полного сканирования MBAM[/B][/URL][/QUOTE]
(Повторный ответ... первое сообщение "исчезло" из ленты)
Спасибо, C:\autorun.wsh отправил, но номер его был только в первом сообщении...
вот логи сканирования (отдельно для диска и флешки)
обновил windows (за год), почистил реестр (Norton BHO Internet Explorer), потому дублирую сканирование AVZ Hijack...
В базу безопасных файлов отправил результаты скрипта №4
Файл сохранён как 121029_164128_virusinfo_files_YOUR-CC5F3F710B_508eb1b8c30c5.zip
Размер файла 248887
MD5 2bd8857723abe6e81e807b320c2b1d98

[CODE]E:\Programmer\brTools\iehv.exe
C:\setup.exe[/CODE]

Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

кстати вам эти файлы знакомы ?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

что с проблемой ?

Здравствуйте, извините за долгий "перерыв", попал в цейтнот... [COLOR="#FFA07A"](на работе аврал, друзья притащили на праздники еще два компьютера..., до вчерашнего дня все делал одновременно и в выходные: рекламу для работы и сканирование на вирусы...)[/COLOR]
1. Карантин отослал
Файл сохранён как 121106_160428_virus_5099350c0640d.zip
Размер файла 34519
MD5 99af9ef26d4d38fad93c31e54fb4f0f8
2. В нем нет C:\setup.exe
Этот шедевр (приятеля) я вычистил (еще 29-го), ...потом профиксил реестр и диск (Comodo Cleaner...) и не смог найти (!?!) Виноват (цейтнот)...
3. Файл E:\Programmer\brTools\iehv.exe - это с моей флешки (отуда запускал AVZ...)
iehv.exe - это утилита для просмотра файлов истории IE от [URL="http://www.nirsoft.net/"]nirsoft.net[/URL],
обычно любой софт я стараюсь скачивать с сайтов разработчиков, однако...здесь засомневался..., и нагуглил только вот этот [URL="http://systemexplorer.net/file-database/file/iehv-exe"]устаревший вариант [/URL]... (контрольная сумма не совпадает с "новым")
4. Сейча проблемы нет. (После фикса C:\setup.exe в Hijacthis запустил полное сканирование в AVZ и mbam... , не увидел ничего нового, потом запустил Comodo:
30.10.2012 21:58:57 Обнаружен C:\SUPPORT\TOOLS\DEPLOY.CAB|factory.exe Heur.Suspicious@104948638 Успех
30.10.2012 22:56:24 В карантин C:\SUPPORT\TOOLS\DEPLOY.CAB Heur.Suspicious@104948638 Успех
После этого повторил все проверки. Проблема исчезла.
Теперь осталось разобраться, чем чреват снос [URL="http://www.microsoft.com/en-us/download/details.aspx?id=11282"]DEPLOY.CAB[/URL] и где его скачать и восстановить...
И осадить оставшийся осадок (сомнения) по поводу iehv.exe

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Еще раз здравствуйте, сообщение (наверху) отослал на прошой неделе. При публикации появилась надпись..., что-то вроде:
[B]"Ваше сообщение будет опубликовано после рассмотрения модератором"...[/B]
Однако, прошла неделя, но публикации не появилось..., и подобная ситуация уже втрой раз...
Это не претензия, а лишь попытка указать на потери, снижающие качество обслуживания...

E:\Programmer\brTools\iehv.exe - чистый.

а кроме этого ещё какие проблемы ?

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

зы. если хотите можете оставить свой отзыв о сайте и пожелания ... ссылка у меня в подписи.

[quote="Altersego;938567"]Однако, прошла неделя, но публикации не появилось...,[/quote]
Проблемы с Вашими сообщениями из-за ссылок в них. Если уж их публикуете, то старайтесь их деактивировать.

[quote="Altersego;938567"]Heur.Suspicious@104948638[/quote] это ничем страшным не грозит.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]