Проблема следующая. Явно схватил троян или что-то, интернет тормозит, антивирусные сайты будь то kaspersky.ru, viruslist.com, norton.com и др. перехватываются на локалхосте (проверил по tracert) и выдается ошибка Unable to connect. Перепробовал три браузера, чистил куки и реестр, CCLeaner, проверял на вирусы касперским, нортоном, аваксом :) проблема в том, что базы обновить невозможно (опять же, блокированы сервера антивирусов). поэтому самое новое чем пользовался где-то за лето этого года :)
Левых программ не запущено, по крайней мере отключал все что только можно :) Если только не инфицированы сис.файлы, но опять же антивирус ничего не нашел. Пересоздавал подключение - тоже не помогло.

Собственно вопрос. Где могут прописаны такие перехваты вызовов серверов? Если все же нужна проверка на вирусы с последними базами, то как их обновить НЕ с сервера самого касперского? где на жестком диске дира баз, я не обнаружил просто :)

RomaRS, Посмотри Сюда (http://forum.oszone.net/post-717373-2.html) и выложи логи

Ни одну из ссылок скачать не могу по той же причине - блокированы все подобные сервера :)
боюсь и AVZ обновить базы не получится...

Софт-то в окалке найду, но базы боюсь не обновлю; так что если можно, скажите где обновления еще можно скачать..

В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить".
Будут ли открываться сайты?
begin
ClearHostsFile;
end.
После полные логи.
Если не получится, то делайте логи не обновленным AVZ.
http://forum.oszone.net/post-911255-2.html

После скрипта сайты антивирусов по-прежнему не открываются. Удалось-таки обновить базы AVZ со второго сервера :) Высылаю логи.

RomaRS, очистите временные файлы, отключите восстановление системы! Деинсталлируйте MaxAntiSpy, если больше не используете Symantec - удалите (http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?OpenDocument)
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('TCCrystalCpuInfo', 4);
SetServiceStart('MaxAntiSpyFilter', 4);
SetServiceStart('Ood08ogepw', 4);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ood08ogepw.sys','');
QuarantineFile('C:\WINDOWS\Temp\TCCpuInfo.sys','');
QuarantineFile('C:\UTIL\MaxAntiSpy\SSS.sys','');
QuarantineFile('C:\WINDOWS\system32\HookDLL.DLL','');
QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ak7cm1fn.SYS','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\UTIL\MaxAntiSpy\SSS.sys');
DeleteFile('C:\WINDOWS\Temp\TCCpuInfo.sys');
DeleteFile('C:\WINDOWS\onfwbsak.dll');
DeleteFile('C:\_ARCHIV\_PROGRAMS\HTTPTunnel 4.44.exe');
DeleteFile('C:\_ARCHIV\_SYSTEM\WinXP\WINDOWS\_OLD\azentretien.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ood08ogepw.sys');
DeleteService('Ood08ogepw');
DeleteService('MaxAntiSpyFilter');
DeleteService('TCCrystalCpuInfo');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('MaxAntiSpyFilter');
BC_DeleteSvc('TCCrystalCpuInfo');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = LE Team. We can do more...
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
Повторите логи. virusinfo_cure.zip вкладывать не надо.
ответ из вирлаба:
New malicious software was found in the attached file.
It's detection will be included in the next update.

Выполнил, отправил quarantime.zip.

На команде
ExecuteSysClean;
выдавалась ошибка Invalid data type for "
закомментил ее, выполнил скрипты. Сайты по-прежнему не открываются.

Кстати заметил, в фоне иногда запускается iexplorer, что тоже наводит на подозрения :)
Сейчас отправлю новые логи.

RomaRS, сам скрипт не содержит ошибок, комментировать строчку не надо было, повторите ещё раз скрипт (убрал команды удаления временных файлов), не забудьте выкл. антивирус на время вып-ия скрипта. Карантин пришел пустой.

Да не выполняется он.
invalid data type for " на той строчке, и всё.
Вот подобная ошибка была:
http://virusinfo.info/showthread.php?t=10840#7

Лекарства от нее не нахожу. Пробовал и переустанавливать, и все процессы убивал, без avzguard пробовал, да безрезультатно.
Отправляю последние логи.

На всякий случай высылаю отчет по выполнению скрипта.

RomaRS, Outpost (возможно он и блокирует скрипт) и KIS2009 скорее всего конфликтуют, попробуйте деинсталлировать Outpost, в KIS2009 своего функционала достаточно. Не хватает ещё одного лога virusinfo_syscheck.zip. Вы с помощью CureIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) систему проверяли? Если нет - проведите полное сканирование с помощью cureit в безопасном режиме.
Отключите восстановление системы! Выполните скрипт (отключите на время все защитные программы)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Ood08ogepw', 4);
QuarantineFile('C:\Program Files\HACKER\CrackersKit\Rebuilding\ImpRec\Plugin\aspr1.dll','');
QuarantineFile('C:\Program Files\AUTORUN\Autorun Creator\dfj432.dll','');
QuarantineFile('C:\WINDOWS\system32\muangsys.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ood08ogepw.sys','');
QuarantineFile('C:\WINDOWS\System32\HookDLL.DLL','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\Ood08ogepw.sys');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteService('Ood08ogepw');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Ood08ogepw');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Файл quarantine2.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Если не получится, выполните скрипт без строчек
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Если не получится, выполните тоже самое в безопасном режиме.
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/tools/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Повторите логи virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis

RomaRS, в папке ...:\WINDOWS\system32\drivers\etc найди файл hosts. Открой его с помощью блокнота и обрати внимание на все строки, в начале к-х не стоит признак комментария - #. Рекомендую в связке с антивирусом использовать антишпион. Например, Ad-Aware SE. Если не сможешь найти сам, отпишись в РМ, но быстрого ответа не обещаю.

Tigr, c hosts файлом там всё нормально, если и было что-то в нем лишнее, сброшено скриптом поста 4, в KIS2009 есть свой антишпион (и доп. в Outpost), сначала удалим те зловреды, которые в логах есть.

Со скриптом для AVZ всё те же проблемы. перепробовал все вышесказанное.


Лог от Malwarebytes' Anti-Malware 1.28

Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1222
Windows 5.1.2600 Service Pack 3

30.09.2008 0:51:52
mbam-log-2008-09-30 (00-51-52).txt

Тип проверки: Быстрая
Проверено объектов: 58390
Прошло времени: 4 minute(s), 59 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 2
Заражено папок: 0
Заражено файлов: 11

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\ebrn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\CSRSS.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\SMSS.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\fbxrqtwn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphcro4j0ec8a.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcro4j0ec8a.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcro4j0ec8a.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\LSASS.EXE (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

После проделанных выше операций сделал смог обновиться касперский. Сделал проверку, почистил CCleaner'ом, сайты открылись, тормоза интернета пропали. собственно, проблем пока не наблюдаю :)

остается интересным вопрос с библиотекой HookDLL и почему не работает скрипт))

А так, всем спасибо!

RomaRS, HookDLL.DLL проверьте на virustotal.com
При запуске MBAM вы выбрали Тип проверки: Быстрая, перезапустите MBAM и выберите полную проверку, после окончания проверки выложите новый лог.
Если не работает скрипт в AVZ можно пойти другим путем.
1. Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) - описание тут (http://www.saule-spb.ru/library/sdfix.html), загрузитесь в безопасном режиме, запустите утилиту (RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.
2. Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол (не переименовывайте Combofix).
Не забудьте установить Recovery Console по инструкции - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix), и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
- Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
- Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
3. Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe), сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение или запакуйте эти файлы и прикрепите архив.