Не открывается ни одна поисковая система

[Макcим]

Может быть это проблема Вашего регионального узла связи?

Можно обратиться в саппорт провайдера.

[Alex_Tesla]

У провайдера все чисто, я с ними тесно работаю, поэтому сразу у них поинтересовался.

Жена вспомнила, что закачивала один файл как раз где-то в 20-х числах. В архиве закинуть его не смогу, т.к. он больше 2 мегабайт, у меня тонкий канал для этого. Могу линк дать.

[Макcим]

Дайте линк мне в личку.

[Alex_Tesla]

К сожалению файл в аттаче письма Ладно, оформляю в архив с паролем и кидаю отправкой как положено.

[Зайцев Олег]

К сожалению файл в аттаче письма Ладно, оформляю в архив с паролем и кидаю отправкой как положено.

Кроме того, стоит испробовать еще несколько моментов:
1. AVZ Меню Сервис/Поиск файлов на диске. Там следует отметить папки Program Files и Windows на системном диске, задать маску файла *.exe *.dll *.sys *.ocx (она есть в выпадающем списке), задать дату создания более X (где X - дата появления глюков минус 2-3 дня, предположим 25.04.2007 для определенности), и поставить обе птички "Исключать файлы, известные ...". После этого следует запустить поиск. Если что найдется - лог с результатами сюда. Поиск можно повторить, использовав в ильтре в место даты создания дату модификации.

2. Чем закончился поиск по реестру ?

3. Прицепите поджалуйста лог, сохраненный из менеджера автозапуска AVZ. Может быть, там есть что-то, что опознается как безопасное и не является таковым (возможно, запуск reg.exe с ключами и т.п.)

[Alex_Tesla]

1. файл La2_skin_n_Sound.zip ушел в аплоад.
2. лог поиска по реестру лежит выше, в аттаче - google_in_reg.txt
3. Лог автозапуска прикрепил.
4. Из поиска файлов заслуживают внимания:
C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUt il.exe
C:\WINDOWS\SoftwareDistribution\Download\7d8b08968 71a2c62ecc1bc97fb2275c7\sp2qfe\ipnat.sys
C:\WINDOWS\SoftwareDistribution\Download\d9524f00e 5f2cc330553e1ab8061888a\update\arpidfix.exe

точная дата появления этой беды у всех кого я знаю начиная с 26.04.2007

[Rene-gad]

C:\WINDOWS\SoftwareDistribution\Download\7d8b08968 71a2c62ecc1bc97fb2275c7\sp2qfe\ipnat.sys

Скажите, а Виндоуз-Файрволл у Вас активирован? Если да - попробуйте его выключить. М.б. кусается он после какого-то апдейта с IDS Каспера?
PS: То, что Ваша супруга скачала, не содержит дряни. Да и файлы, которые у Вас под подозрением по виду и пути нормальные.

[Alex_Tesla]

Отключил файерволл - безрезультатно

Остальные найденные файлы: установка FireFox, ClearProg и Spybot - Search & Destroy. Если и есть какие файлы, то дата у них подправлена либо они "системные и безопасные".

[Rene-gad]

Отключил файерволл - безрезультатно

Мдя, ИМХО похоже на какого-то недетектируемого почтового червяка, который через Аутлук Экспресс-Адреса распространяется. Было бы неплохо переустановить систему, т.к. бог его знает, кто сейчас кроме Вас видит ваш ПК, но я бы ешё попробовал установить все недостающие обновления включая ИЕ7 и обновить JavaRE.
Ещё идея: Включите файрволл и просканируйте Ваш ПК на grc.com https://www.grc.com/x/ne.dll?bh0bkyd2 /all service ports

[Макcим]

Rene-gad, не надо спешить с перестановкой системы. Это ещё успеется. Нам нужно поймать этого malware, потому что это не единственное обращение по данному вопросу. Таких будет ещё много.

[Alex_Tesla]

Аутлуком у нас никто не пользуется, учетки в нем не настроены. Тест на grc.com показал первые две клетки синие, остальные зеленые.

Мне очень хочеться разобраться, т.к. не хотелось бы поймать такую дрянь у себя на работе.
Обновления потихоньку качаю, пока никаких результатов.

Поставил на FireFox плугин IE Tab, чтобы открывать странички в фоксе, но через движок IE, такая же ерунда как просто через IE.

[Numb]

Такое, может быть, глупое предположение: а какие шрифты/набор символов используются для отображения страниц в IE? Просто вот здесь - http://support.microsoft.com/kb/217115 описывается очень похожая проблема, правда, только для Win98, но вдруг и здесь что-то похожее?

[Alex_Tesla]

Набор знаков: кириллица
Шрифт веб-страницы: Times New Roman
Шрифт обычного текста: Courier New

Но проблема точно не в этом.
Вся закавыка в том, что не загружаются поисковые и страницы типа forum.xxxxxxx.xx.
Все остальное загружается нормально. Да, и еще файлы не загружаются ни с каких сайтов.

[Макcим]

Вы не ответили на мой вопрос http://virusinfo.info/showpost.php?p...3&postcount=40

[Alex_Tesla]

Прошу прощения.
Да, есть возможность посмотреть этот винт из под другой системы. Acronis True Image тоже есть.

Пройтись AVZ из под другой системы?

[Макcим]

В AVZ есть ревизор диска. AVZ - Файл - Ревизор. Ставите типы файлов - все файлы, режим создания базы - стандартный. Если у Вас диск разделен на несколько разделов, то сохраните полученную базу на другой раздел или на сменный диск. Потом делаете акронисом образ диска и подключаете его как виртуальный диск и сверяете образ с тем, что есть с помощью ревизора. Если он найдет отличия, отметьте список и нажмите "скопировать в карантин", дальше карантин прислать нам согласно правил. Можно без акрониса просканировать в начале в обычном режиме, а потом сверить загрузившись из другой ОС. Смысл Вы поняли, надеюсь.

[NickGolovko]

А если полностью удалить Касперского? Вопрос не праздный, увы...

[Макcим]

А если полностью удалить Касперского? Вопрос не праздный, увы...

А это тут причем?

[Alex_Tesla]

Касперского поставил после того как все началось.

Сейчас попробую пройтись ревизором.

[Rene-gad]

Тест на grc.com показал первые две клетки синие, остальные зеленые.

При включённом файрволле должны были бы быть все зелёные, т.е. stealth. Почему порт 1 и 2 closed - не имею представления. Вообще то это порты, как троянские, нигде не описаны, да и статус closed можно рассматривать, как безопасный. Но всё-таки интересно.