Explorer.exe пытается слать инфу на какой-то IP адрес

[Twilightstar]

Добрый день!
На ноутбуке стоит XP, был антивирус НОД, появилась проблемка - включалось окошко "Эта страница недоступна в автономном режиме ..." (нэт выключен), периодически выдавало ошибку IE. Установили 8 IE, не помогло. Сейчас опять становили IE7. Через некоторое время после попыток закрыть окошко "Эта страница недоступна..." начинали выскакивать окна експлорера, ЦП грузился на 100%, ноутбук вис. Установили Касперский. ЦП не перегружается, Касперский видно блокирует. На старте КАВ выдает сообщения, что c:\windows\explorer.exe пытается соединиться с сервером http:\201.218.236.26. Периодически выдает еще один адрес 67.... и т.д. Бывает, пишет, что експлорер пытается послать даные на эти адреса.
Очень прошу помощи.

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('acpi32');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpi32.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\acpi32.sys');
 DeleteService('acpi32');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('acpi32');
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Twilightstar]

Скрипт выполнила. После перезагрузки запускается мастер установки нового оборудования. Ничего не ставила. Во второй раз вроде ничего не нашел АВЗ, но в карантине было 2 файла, их загрузила. Логи выкладываю

[Rene-gad]

После перезагрузки запускается мастер установки нового оборудования. Ничего не ставила.

Там драйвер АВЗ устанавливается : откройте диспетчер оборудования и удалите Неизвестное оборудование.
- Установите IE 8
- Установите все важные патчи.

- В логах ничего подозрительного.

[Twilightstar]

IE 8 установила, обновления тоже. Проблема осталась. В событиях АВП
30.07.2009 22:02:46 Скрипт: res://ieframe.dll/dnserrordiagoff.htm#hxxp://206/~pink/cgi-bin/sptr.cgi?f11a3e1c_Z[1] ok проверен
Иногда выдает такое:
Процесс C:\Windows\Explorer.EXE (PID: 1472) пытается отправить даные посредством доверенного приложения. Адрес назначения:
hxxp://2/~pink/cgi-bin/brvc.cgi?f11a3e1c_Z
Даные: f11a3e1c_Z
Пожалуйста, подскажите, как скрипт этот убрать.

[Rene-gad]

- Очистите темп-папки, кэш проводников и корзину.
- Сделайте лог GMER

[Twilightstar]

Загружаю лог.

После очистки компьютера с помощью AVZ окошко с сайтом на старте не выскакивает (в событиях вэб-антивируса на старте его тоже нет). Но оно грузится через 5 минут, каждые 5 минут 2-4 раза выполняется скрипт. Когда подключен нэт, тоже вижу в событиях вэб а/в, что идет загрузка сайта http\\20… каждые 5-10 минут, в событиях также появляются сайты, которые не загружались. При чистке AVZ не увидела Очистить кеш с описаниями компьютеров в сети, задала Очистить MUICache (извините за глупый вопрос, но это одно и то же? или нет?), также не выдало Очистить журнал браузера (но он чистится сам на выходе), отметила Очистить файлы журналов Windows. Короче, нахомутала… Надеюсь, не смертельно …

[Rene-gad]

Сделайте ещё это: http://virusinfo.info/showpost.php?p=435039&postcount=2
Обязательно очистите файл index.dat.
Лучше всего: выберите Clean All

[Twilightstar]

Сделала, картина не изменилась. Через 5 минут 2 запуска, еще через 5 - 4 запуска скрипта.

[Rene-gad]

Поищите файловый вирус: http://virusinfo.info/showthread.php?t=15927

- Выполните скрипт

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи
virusinfo_syscheck.zip
hijackthis.log

[Twilightstar]

Искала вирусы Др.Вебом с болванки, записаной на чистой машине. Ничего не нашло. Правда, в обычном режиме выбило на синее окно. Писало:
A problem has been detected...
BAD_POOL_CALLER
*** STOP^ 0X000006C2 (0X00000007, 0X00000CD4,0X006F0069,0XE2004090).
После повторного запуска все прошло нормально.
Логи выкладываю
Пы.Сы. Не долго я радовалась. Окно опять появляется со старта и далее по схеме.

[Rene-gad]

BAD_POOL_CALLER
*** STOP^ 0X000006C2 (0X00000007, 0X00000CD4,0X006F0069,0XE2004090).

http://support.microsoft.com/?scid=k...1793&x=10&y=13

В логах ничего подозрительного.

Попробуйте
-Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
-В карточке Автозагрузка - Все отключить (кроме антивируса/файрвола)
-В карточке Службы - Службы Windows не показывать, остальные отключить (кроме антивируса/файрвола).
Перегрузите систему, подтвердите изменения в автозагрузке.
Поработайте так.

[Twilightstar]

Cделала, окно было.
Может это и не вирус никакой, но подозрительный сайтик, да и поведение компа. Спасибо за помощь. Хотя и проблема не решена, я избавилась от другой - двойного прощелкивания мыши. Думала, что слетел микрик какой-то, а на самом деле мешал "мусор". Я напомню о себе в сентябре, когда вернусь из отпуска.
Еще раз спасибо.

[Rene-gad]

Может это и не вирус никакой, но подозрительный сайтик

В общем так: полазил я в гугле (не знаю, почему это должен был делать я, а не Вы ) и обнаружил, что подобная проблема возникает из-за несовместимости КАВ с одним из обновлений от Микрософта.

[Twilightstar]

Спасибо Вам за старания (я про гуглю), но проблема возникла, когда КАВ на ноутбуке не было. Он хоть как-то что-то блокирует. А раньше просто грузились окна и висла система, ЦП на 100% грузилась. Вот так...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены