Ситуация следующая:
стоит сервер, который раздает интернет, к нему подключены 3 компа.
1. МАС
2. ХР
3. ХР
у всех настройки одинаковые.
но у третьей машины не открываются некоторые сайты, тестирую на google.ru
стоял нод32, я его убрал
проверил drwebcureit'ом - чисто
почистил ccleaner'ом
hosts - чист
вот логи:

FaXeR, привет.

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show allИз всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

вот

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service adeczfe
gmer.exe -del service bpdrwua
gmer.exe -del service ekgbop
gmer.exe -del service hxfha
gmer.exe -del service madlb
gmer.exe -del service mlsuf
gmer.exe -del service rqoxtvgw
gmer.exe -del service srzzhwcf
gmer.exe -del service xqiuasst
gmer.exe -del service ygdbzs
gmer.exe -del file "C:\WINNT\system32\fwbmkpa.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ygdbzs"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\xqiuasst"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\srzzhwcf"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\rqoxtvgw"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\mlsuf"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\madlb"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\hxfha"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ekgbop"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bpdrwua"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\adeczfe"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ygdbzs"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\xqiuasst"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\srzzhwcf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rqoxtvgw"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\mlsuf"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\madlb"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\hxfha"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ekgbop"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bpdrwua"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\adeczfe"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

А также


Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)

скажите пожалуйста что эти строки сделают??? вкратце

FaXeR, данными строками мы убираем зловредов из вашей ситемы))) У вас KIDO

BOT

FaXeR, удалити в МВАМ следующие строки
HKEY_CLASSES_ROOT\CLSID\{8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A}
c:\documents and settings\llk.rmgelato.000\local settings\Temp\ir_ext_temp_0\AutoPlay\Docs\nod32view.exe
c:\documents and settings\llk.rmgelato.000\local settings\Temp\0\svchost.exe
Что с проблемами?
Так как у вас было заражение KIDO неоходимо закрыть уязвимости, установив эти обновления
1)MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
2)MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
3)MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)

Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности

проблема НЕ решена, обновления даже не могу скачать - не открывается
пароль поставил сложный

давайте попробуем вот так
Цитата:Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

пока выполняется лог комбо след вопрос.
скажите какие конкретно сайты у вас не открываются?
в обязательном порядке скачать и установить explorer8

Конретно не могу сказать какие сайты не открываются точно. Знаю что начальница ругается что не работает.
100% не заходит на гугл.ру

это лог с комбо

c:\winnt\system32\proquota.exe . . . is missing!!
c:\winnt\System32\srsvc.dll ... is missing !!
c:\winnt\System32\wscntfy.exe ... is missing !!
c:\winnt\System32\regsvc.dll ... is missing !!
c:\winnt\System32\schedsvc.dll ... is missing !!Восстановите файлы с дистрибутива http://virusinfo.info/showthread.php?t=51654

c:\winnt\regedit.exe . . . is infected!!
c:\winnt\system32\srsvc.dll . . . is infected!!проверьте на virustotal (http://www.virustotal.com/ru)
Ссылки на результат проверки сообщите

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::

File::

Driver::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha

NetSvc::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

файлы восстановить пока нет возможности, а остальное сделал.
длл файла нету

Выполните такой скрипт, котрый отключает автозапуск с сетевых дисков. Также отключите комп от сетевых ресурсов.

Цитата:Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha

NetSvc::
madlb
bpdrwua
xqiuasst
rqoxtvgw
ekgbop
srzzhwcf
ygdbzs
adeczfe
mlsuf
hxfha


Folder::


Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoDriveTypeAutoRun=dword:00000012



FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Цитата: Выполните такой скрипт, котрый отключает автозапуск с сетевых дисков
Какой скрипт, как - не умею

FaXeR, данный скрипт перед вами в посте 15)

вот сделал

еще

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\winnt\system32\fwbmkpa.dll

Driver::
usaje
vwhlja

NetSvc::
vwhlja

Folder::


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9848:TCP"=-

FileLook::

DirLook::

Reboot::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


1)MS08-067
2)MS08-068
3)MS09-001 »
Установили патчи?