Пропал интернет, накрылся антивирус.

[Игорь Владимирович]

Здравствуйте!
Спустя 4 года снова вынужден побеспокоить вас просьбой о помощи. Свои ресурсы я исчерпал и теперь надежда лишь на вас.
Началось всё где-то 1 мая с того, что после загрузки начали на несколько секунд появляться по очереди 2 окна с информацией о том что в С:Windows не найден файл apppatch/iqihsp.exe и ещё какой-то - не успевал прочесть. И перестал обновляться Dr.Web и запускаться некоторые его функции (агент и файрволл). Я сперва грешил на Акадо - начало месяца, косяки с оплатой и т.п. В праздники не до интернета было, думал потом разберусь, всё равно в сеть эаходил и не надолго. А 8 мая и интернет пропал. Но я снова понадеялся на то что это все проблемы провайдера. А позавчера, вернувшись к решению проблем, понял - это вирусня балует.
Глянул в историю Dr.Web. Он оказывается 9 мая вылавливал и удалял Trojan.Carberp30. Подробностей не знаю - кто-то из домашних тогда за компом был, а с них, в этом деле, спрос... сложный
Дальнейшие мои действия:
Нашел какой-то посторонний процесс в автозагрузке - удалил. Запустил DrWebCureit (месячной давности). Он нашел пару троянов. Удалил из автозагрузки найденные там с помощью ERD Commander запросы на те файлы apppatch. Попробовал восстановить винду (XP prof. SP2). В процессе чего возникли проблемы с копированием кучи файлов на стадии создания меню «Пуск». Видимого результата не было. Стандартный интернет по Акадовкому кабелю работает только для Скайпа, а браузеры только при исользовании смартфона в качестве модема.п
Вчера зашел на этот сайт и приступил к священнодействию.
Скачанный и запущенный сразу по полной AVPTool за 10 часов работы нашел 19(!) вирусов. Какие-то вылечил, какие-то удалил. Уже глубокой ночью перезагрузил, выполнил скрипты. Изменений не было.
Разве что сегодня - при загрузке - пришлось снова восстанавливать винду. Ибо не нашелся config.sys.
Всё - дальше надежда только на вас. Сделанные ночью логи прилагаю.

[Info_bot]

Уважаемый(ая) Игорь Владимирович, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Здравствуйте.

Пофиксите в HijackThis (как пофиксить):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888; https=127.0.0.1:8888
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{64BD9B2C-4234-4961-8A3A-F800B5327FAB}: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C6C95AA-2C23-4C63-B87D-2035A0AE2308}: NameServer = 127.0.0.1

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\apppatch\iqihsp.exe','');
 DeleteFile('C:\WINDOWS\apppatch\iqihsp.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
 ExecuteRepair(21);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки выполните скрипт в AVZ:

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела Диагностика правил) и приложите в теме.

Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).

[Игорь Владимирович]

Всё выполнил. Интернет заработал. Про антивирус пока не знаю - я его вчера снес зачем-то Сейчас буду заново устанавливать.

Мда... А вот Dr.Web пишет что установка завершилась с ошибкой... и даёт лог с инфой об этом... Но это мне видимо с провайдером нужно общаться.

[Nikkollo]

Приложите лог от установки Dr.Web.

[Игорь Владимирович]

Вот он. Правда пришлось заархивировать - 8,5Mb

[Nikkollo]

При лечении я заменил вам все DNS на публичные DNS от Google, после чего интернет у вас заработал.
Попробуйте проверить настройки DNS и настроить так, как выдал вам провайдер.
Затем перезагрузите компьютер и попробуйте снова установить Dr.Web.

[Игорь Владимирович]

Что-то... не так, в датском королевстве...
В настройках DNS стоит «получать адрес DNS-сервера автоматически». IP-адрес, кстати, тоже.
Провайдер мне кстати ничего не давал - приехал настройщик Акадо, подключил молча и уехал
И ещё... в свойствах подключения, на вкладке «дополнительно», написано что «Windows не удается вывести свойства этого подключения. Возможно данные инструментария управления Windows (WMI) повреждены» И советуют воспользоваться «восстановлением системы». Я рискнул последовать совету. Ничего не изменилось, но интернет снова пропал Отменил восстановление, интернет вернулся.
Глянул инфу через командную строку и чего-то напрягся -
«C:\Documents and Settings\Артём>ipconfig -all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : 9990633fe4a14b3
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : oops

Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . : oops
Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-11-2F-72-00-6F
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 10.3.204.254
Маска подсети . . . . . . . . . . : 255.255.224.0
Основной шлюз . . . . . . . . . . : 10.3.192.1
DHCP-сервер . . . . . . . . . . . : 10.255.254.183
DNS-серверы . . . . . . . . . . . : 217.10.39.4
217.10.32.4
217.10.36.5
217.10.44.35
Аренда получена . . . . . . . . . : 15 мая 2012 г. 23:40:35
Аренда истекает . . . . . . . . . : 17 мая 2012 г. 23:40:35»
Что это за oopsы в DNS-суффиксах и что это за аренда?.. Да и имя компа я такое вроде не задавал... хотя тут возможно сын постарался, но с ним связи у меня сейчас нет.

Может развеете мои сомнения или что-нибудь посоветуете?

[Nikkollo]

У вас включен DHCP. http://ru.wikipedia.org/wiki/DHCP
В этом случае все сетевые настройки компьютер получает автоматически.
Если DrWeb вам предоставил провайдер,то лучше обратиться к нему.

И еще. У вас:

Код:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите Service Pack 3(может потребоваться повторная активация):
http://www.microsoft.com/downloads/r...8-1e1555d4f3d4
Установите все обновления безопасности, вышедшие после Service Pack 3:
http://windowsupdate.microsoft.com/
Обновите Internet Explorer до актуальной версии (даже если не используете):
http://windows.microsoft.com/ru-RU/i...r/downloads/ie

[Игорь Владимирович]

Я так и понял...

А насчет SP3 и остального - проблема в активации

Большое спасибо за помощь! (с меня причитается)

Удачи вам!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены