после удаления вирусов internet explorer не видит никаких серверов

[v_lentin]

Здравствуйте, участники форума,
жалко, что добрался сюда после того, как уже врукопашную поборолся с вирусами. В результате самостоятельного лечения у меня испортился механизм доступа в интернет. Соединение с провайдером происходит, вроде как мой пароль проверяется успешно, но ни internet explorer, ни mail-агент, ни icq никакиох хостов не видят.
Последним действием, отрубившим мне сеть, стала поторная установка SP2 к моей Win XP. До этого у меня в системной папке была библиотека rsvp322.dll, с которой всё работало, но, вроде, это была часть вируса. После переустановки SP2 - не работает ни с ней, ни без нее. Кстати на моем рабочем ПК Win XP SP2 такой библиотеки вообще нет.
Помогите, если можете.
PS. небольшое добавление. У меня теперь практически нет возможности скачать из интернет что-либо. Для выхода в этот форум я пользуюсь чужим компьютером, но закачка здесь запрещена в принципе.
PPS. Учитывая вышеизложенное, отвечать я буду через значительные интервалы времени.

[drongo]

скачайте firefox или opera - с ними погулять по интернету =)

1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\sagent4.exe','');
 QuarantineFile('c:\windows\system32\syncapp.dll','');
 QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
 QuarantineFile('C:\WINDOWS\TEMP\4754.exe','');
 QuarantineFile('C:\WINDOWS\dllksr32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\TPwSav.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\drvmcdb.sys','');
 QuarantineFile('C:\WINDOWS\system32\zxcstat.dll','');
 QuarantineFile('C:\WINDOWS\system32\zxcmgr32.dll','');
 QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
 QuarantineFile('C:\WINDOWS\system32\confzxc.dll','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('c:\toshiba\ivp\swupdate\swupdtmr.exe','');
 QuarantineFile('c:\windows\system32\acs.exe','');
 QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
 QuarantineFile('C:\WINDOWS\system32\zxcmgr32.dll','');
 QuarantineFile('C:\WINDOWS\system32\zxcstat.dll','');
 DeleteFile('C:\WINDOWS\system32\zxcstat.dll');
 DeleteFile('C:\WINDOWS\system32\zxcmgr32.dll');
 DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
 DeleteFile('C:\WINDOWS\system32\confzxc.dll');
 DeleteFile('C:\WINDOWS\TEMP\4754.exe');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
 DeleteFile('C:\WINDOWS\dllksr32.exe');
 AutoFixSPI;
 BC_ImportQuarantineList;
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

2.Выполнить пункт 2 правил
3.сделать новые логи по правилам и прикрепить к следующему ответу.
4.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10177

P.S. вообще-то если система оживёт после такого зоопарка- будет чудо - пойду лотерейный билет заполню

[v_lentin]

1. Скрипт выполнил
2. cureIt до дома пока не донес. (пункт 2 пока не выполнен)
3. логи сделал
4. карантин вроде как отправил письмом на '[email protected]' (выгрузка мне так же недоступна).

[v_lentin]

И еще,
в другой ветке по похожей проблеме помогла утилита WinSockFix
Может быть мне озадачиться и её поиском тоже?

[Bratez]

WinsockFix - утилита из категории must have, так что скачайте на всякий случай. Если после удаления всех зловредов связь с интернетом не наладится - попробуйте ее.

[anton_dr]

Ввиду того, что у автора не получилось загрузить архив, он был запрошен по почте.

Файл сохранён как 070606_131453_virus_46667b0d4c5f4.zip
Размер файла 530985
MD5 cecb2c4397acc3f36a3360271456e6f2

[v_lentin]

Люди, а может быть кто-нибудь пришлет WinSockFix по почте? Правда, большие проблемы с закачкой.

CureIt нашел - он удалил еще один файл-вирус, но лучше не стало.
Скрипт прогонял несколько раз - ПК рестартует, но файлы (sysfldr и др.) не удаляются.

Opera и firefox ничем не лучше IE. Никакого инета не видят.

[v_lentin]

Спасиб, за WinSockFix! Побегу домой пробовать! Вдруг заработает!

[Bratez]

Как успехи?
У вас тут в карантине еще один зловред выявился:
c:\windows\system32\syncapp.dll - Trojan-Spy.Win32.BZub.ji
Выполните скрипт для удаления:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\syncapp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и логи можно еще разок сделать, посмотрим.

[v_lentin]

WinSockFix исправил разрешение IP-адресов ! Ура !
Но, интернета у меня всё равно пока нет. Похоже, что со стороны провайдера что-то не работает. У меня WiFi-модем, я его вижу, а провайдер не видит.
Скрипт гонял еще несколько раз и полную проверку диска гонял еще несколько раз. Файлы zxcstat.dll, zxcmgr32.dll, sysfldr.dll, confzxc.dll появляются после каждого перезапуска. Плюс при попытке их копирования в карантин выдается сообщение об ошибке, типа "прямое чтение" ?.
Новый скрипт прогоню сегодня вечером. Завтра с утра будут новые логи.
И еще, я было дело удалил из System32 пару файлов, на которые ругался AVZ, я, наверное, их обратно подложу, чтобы Вы и на них посмотрели ?

[Bratez]

И еще, я сначала удалил из System32 пару файлов, на которые ругался AVZ, я, наверное, их обратно подложу, чтобы Вы и на них посмотрели ?

Обратно подкладывать не надо. Поищите пожалуйста файл Ati2evxx.dll и пришлите по правилам его и ту пару файлов.

[v_lentin]

Ati2evxx.dll у меня в карантине нет, дома посмотрю на диске. Зато я нашел пример сообщения об ошибке карантина. Тут ничего не надо поправить?

" Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\zxcstat.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Удаление файла:C:\WINDOWS\system32\zxcstat.dll
>>>Для удаления файла C:\WINDOWS\system32\zxcstat.dll необходима перезагрузка
"

и после перезагрузки всё тоже самое....

[Bratez]

Ati2evxx.dll у меня в карантине нет, дома посмотрю на диске.

Разумеется, на диске. Потому и прошу, что в карантине его нет

[v_lentin]

Ati2evxx.dll загрузил.

(еще у меня нашлись C:\WINDOWS\system32\Ati2evxx.exe и C:\WINDOWS\Prefetch\ATI2EVXX.EXE-19D16EB9.pf их нада?)

Скрипт выполнил. Сейчас приделаю логи...

[Bratez]

Ati2evxx.dll загрузил.

Файл чистый.
(Хотел я назвать слово целиком, но не угадал ни одной буквы )

>>>Для удаления файла C:\WINDOWS\system32\zxcstat.dll необходима перезагрузка
и после перезагрузки всё тоже самое....

Выполните скрипт (для страховки, в логах данного файла уже нет):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\zxcstat.dl');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Вопрос такой: в папку Автозагрузка ярлычок Internet Explorer вами поставлен?
Он действительно запускает IE? Если вы не в курсе, пришлите по правилам файл
C:\Documents and Settings\1\Start Menu\Programs\Startup\Internet Explorer.lnk

Можно пофиксить "мелкий мусор":

Код:

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O2 - BHO: Shell Search Engine and Control Microsoft - {0000DE80-AEC3-70C3-4176-CE509063E000} - C:\WINDOWS\system32\mscorews.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O20 - Winlogon Notify: rpcc - C:\WINDOWS\

Можно убрать лишнюю копию драйвера принтера:
EPSON Stylus CX6600 Series - установлен на порт USB
EPSON Stylus CX6600 Series (Копия 1) - установлен на LPT
Оставьте тот, который соответствует действительности.

[v_lentin]

IE я в автозагрузку не ставил. В настоящий момент он, действительно, стартует при каждом входе польозователем 1, но в свернутом виде. Ранее, вроде как, такого не было. Хотя точно не помню.

В любом случае, спасибо, огромное, похоже, всё налаживается.

То есть, интернета у меня по-прежнему нет, но, похоже, теперь это вопрос к провайдеру, по крайней мере, модем я увидел.

WinSockFix - форева!!!

[v_lentin]

Нет, похоже, придется всё переставлять. Провайдер кричит, что что-то сломалось именно на моей стороне. Предположительно, протокол PPPoE. А это чем править?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 18
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rpcc.dll - Trojan-Proxy.Win32.Dlena.cq (DrWEB: Win32.HLLM.Bid)
  2. c:\\windows\\system32\\syncapp.dll - Trojan-Spy.Win32.BZub.ip (DrWEB: Trojan.PWS.Tanspy)