Проверьте, пожалуйста, комп. Видимо был инфицирован, файл hosts был изменен - вернул как надо. Посмотрите, может осталось чего.
Логи прилагаются, запускал все три браузера.
Printable View
Проверьте, пожалуйста, комп. Видимо был инфицирован, файл hosts был изменен - вернул как надо. Посмотрите, может осталось чего.
Логи прилагаются, запускал все три браузера.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
R3 - URLSearchHook: Notes Link - - (no file)
F2 - REG:system.ini: Shell=explorer.exe rundll32.exe dckp.suo printer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dckp.suo','');
DeleteFile('C:\WINDOWS\system32\dckp.suo');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(16);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=67785[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Продолжаем разговор. Тут обновили антивирусное ПО - поставили Drweb поновее. Он нашел вирус - Trojan.WinSpy.440 в файлах sfcfiles.dll и mssfc.dll. Первый восстановили в безопасном режиме со здоровой машины (файл отличался), а второй удалили. Тем не менее по прежнему с машины браузеры (IE, Mozilla) не заходят на антивирусные сайты - Касперский.Ру, Дрвеб.Ру и т.п. Oper'е похоже пофиг - она заходит без проблем. Файл hosts пустой, только стандартная строчка насчет localhost.
Карантин выслал ранее - дня 2 назад.
Новый комплект логов:
В логах ничего подозрительного.
Выполните такой скрипт:
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
Я уже догадался, что ничего подозрительного:) Сегодня немного повеселились с этим компом:
1. Погоняли DrWeb с последними базами (так собственно и нашли sfcfiles:D)
2. Все, что не понравилось в п.1. погоняли на virustotal.com:) Больше ничего не нашлось.
3. Поставили MBAM. Обновили его по инету. Полное сканирование. Нашел пару пустых папок - их тут же потерли - типа подозрение на вирус:) Еще нашел ключик в реестре нехороший (HKCR - idid как-то так), тоже удалили его. Еще нашел кучу подозрений на диске D, но это все не то.
4. Погоняли AVZ. Прогнали все скрипты "Восстановление системы", кроме 2-х последних. Восстановили настройки сети.
5. Задали сложный пароль на админа:)
6. Это чистый фейк:) Глазами пошли искать вирусы в system32 и, Внимание!, ...нашли!!!:D Пару подозрительных exeшников со странными именами. Тут же их на virustotal - какие-то Kriptyk (где-то так). Тоже потерли.
Сдается мне, это все следы вирусов, оставшихся после их лечения/удаления.
А теперь самое главное - после уймы перезагрузок ни Internet Explorer, ни Mozilla так и не хотят идти на drweb.com, kaspersky.ru, symantec.com и т.п.:furious3: Opera спокойно выходит ей все по барабану. Кстати, все это несмотря на то, что сейчас все (или почти все:)) потенциально опасное найдено, отключено, заблокировано, все сервис-паки, апдейты, патчи установлены....
[B]Вывод:[/B] Бойтесь непонятной хм... ерунды. Походу систему все же переставим:(, было бы время, а идей у меня еще вагон и маленькая тележка:)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\dckp.suo - [B]Backdoor.Win32.Bredavi.apx[/B] ( DrWEB: Trojan.Packed.12452, BitDefender: Trojan.Generic.2654404, AVAST4: Win32:Oficla-D [Trj] )[/LIST][/LIST]