На компе установлен Dr.Web с последними обновлениями. Неделю назад с трудом вылечился от VBS.Igidak. И вот новая напасть. После очередной перезагрузки компа появилось сообщение от Spider Mail, что он не может перехватывать сетевые соединения, и что возможно на компьютере установлен proxy клиент, сетевой экран или иная программа, препятствующая его работе. Комп подключен к локалке и к интернету через ADSL-модем, который одновременно является и маршрутизатором. У данного маршрутизатора IP-адрес 192.168.1.1. На подключенном к нему компьютере было выставлено "Получить IP-адрес автоматически", т.е. IP-адрес получался 192.168.1.2, тип адреса был "Присвоен DHCP", маска подсети 255.255.255.0 и основной шлюз 192.168.1.1. После появившегося сообщения от Spider Mail (см. выше) все параметры на компе сбились: IP-адрес стал 169.254.23.83 (на месте 23.83 после перезагрузок появлялись 198.124 и др.), тип адреса был "Автоматический частный IP-адрес", маска подсети 255.255.0.0 и основной шлюз - пусто. Запустил Dr.Web - он нашел в папке Windows\System32\ много файлов drw<буквы,цифры>.tmp, инфицированных Trojan.Proxy.1406. Я их все удалил. После перезагрузки и повторного сканирования в этой же папке был обнаружен файл c_437b.exe, инфицированный Trojan.Proxy.1405. Тоже его удалил. Далее, пошел по шагам, описанным в Ваших правилах выполнения проверки компа. DrWeb - CureIT! нашел в папке Windows\System32\ в файле msvcrl.dll вирус Trojan.PWS.GoldSpy. Вылечить не смог - удалил. Теперь без этого файла не запускается Internet Explorer. Я пробовал выставлять на компе принудительно IP-адрес 192.168.1.2, маску подсети 255.255.255.0 и основной шлюз 192.168.1.1. Локалка при этом вроде как появляется, но интернет всё равно не работает. Также пробовал искать и удалять в реестре ссылки на IP-адреса, начинающиеся с 169.254 - они появляются снова. Что можно еще сделать? Подскажите, пожалуйста. Высылаю полученные логи.
Заранее спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Файл virusinfo_8146_quarantine.zip послал.
После выполнения скрипта и перезагрузки компа, такое впечатление, что всё вылечилось. По крайней мере локалка и интернет заработали. Причем IP-адрес 192.168.1.2. Не заработал, единственное, Internet Explorer из-за отсутствия файла msvcrl.dll. И файл virusinfo_8146_quarantine.zip как мне показалось почему-то пустой. Так и должно быть?
Сделал всё как Вы написали. Правда кода "O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing" в HijackThis не оказалось. Высылаю логи.
Не заработал, единственное, Internet Explorer из-за отсутствия файла msvcrl.dll.
Ваш файл C:\Program Files\Internet Explorer\IEXPLORE.EXE был изменен трояном. Для его исправления замените его из дестрибутива Windows XP или воспользуйтесь утилитой Haxfix http://users.telenet.be/marcvn/tools/haxfix.exe установите, после запуска из меню выберите 2. Run auto fix.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: