Неизвестная проблема, после заражения

[Макс228]

Проблема в следующем: компьютер был заражен руткитом tdss(сидел в системной памяти), касперский его вылечить не смог. помог cureit. После чего перестала работать авторизация на сайте вконтакте, не скачивается AVP tool, не обновляется каспер и т.д.... Смотрел файл HOSTS, с ним все впорядке, путь к нему в реестре тоже верный. никаких подозрительных объектов в процессах и службах НЕТ. было замеченно каспером скрытая активность какойто проги, в папке темп. но перейдя туда - оказалось там пусто. прога имела название 375208_XP.exe. Делал полную проверку со всех LIVE CD ничего нет. И ЧТО САМОЕ СТРАННОЕ, этот комп раздает интернет по wi-fi на ноут, на котором та же проблема. НО если ноут подключить по кабелю к интернету то все ОК. ЧТО ДЕЛАТЬ!!!

[Bratez]

ЧТО ДЕЛАТЬ!!!

Ну как что?! Конечно же, логи по правилам!

[Макс228]

Логи выложенны )

[Bratez]

Заразы в логах не видно.

Пофиксите в HijackThis:

Code:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Запустите окно командной строки (cmd.exe) и наберите команду:
route -f
Проверьте, что изменится.

[Макс228]

Спасибо за помошь, хотя проблема решилась прогой MBAM, были испорчены параметры TCP.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{0DA625FF-A7DF-4B3B-9002-05AB9A23806E}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{69D36724-2DB2-4DA6-95C6-C43610C7FCE1}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\{C1C8C744-FD1A-4115-8097-E2D52916D740}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.165.203,93.188.160.174) Good: () -> Quarantined and deleted successfully.

[Bratez]

были испорчены параметры TCP

Это были "троянские" DNS.