Как разблокировть доступ к антивирусным сайтам и восстановить Блокнот?
 

Компьютер с системой Windows Vista был заражен вирусом.
Симптомы такие:
1) Блокирован доступ ко всем антивирусным сайтам. При попытке пинговать - пингует адрес localhost.
Соответственно, не может обновлять базы антивирусных программ.
2) Повреждено встроенное приложение Блокнот. При открытии программа выдает критическую ошибку. Подробное описание ошибки Блокнота:
Сигнатура проблемы:
Имя события проблемы: APPCRASH
Имя приложения: NOTEPAD.EXE
Версия приложения: 6.0.6001.18000
Штамп времени приложения: 47918ea2
Имя модуля с ошибкой: ntdll.dll
Версия модуля с ошибкой: 6.0.6001.18000
Штамп времени модуля с ошибкой: 4791a7a6
Код исключения: c0000005
Смещение исключения: 00048bb2
Версия ОС: 6.0.6001.2.1.0.256.6
Код языка: 1049
Дополнительные сведения 1: 450b
Дополнительные сведения 2: 4876278f6102b4ab684da81fbc0a8303
Дополнительные сведения 3: 3e99
Дополнительные сведения 4: 2ce17bb7a0e548d1353fd270f0329686

С помощью утилиты CureIt (DrWeb) найдена и удалена цепочка троянов (в названии присутствовало TDSS).
Больше ничего не находится ни этой утилитой, ни утилитой Kaspersky Virus Removal Tool (AVPTool).
Но оба симптома остались.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить»
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.

Файл quarantine.zip отправила на e-mail

Zuzya, файлы в карантине чистые. По логам зловредов не вижу. Файл hosts д.б. очиститься скриптом, проверьте доступ к антивирусным сайтам.
Проверьте систему с помощью MBAM и доп. можете использовать ComboFix, утилиты знают TDSS и умеют удалять. C:\ComboFix.txt можете приложить к след. сообщению.
По восстановлению блокнота вам лучше обратиться в раздел Microsoft Windows Vista

Доступа к антивирусным сайтам по-прежнему нет, хотя файл хостов очистился (осталась только одна запись для localhost). Программу Malwarebytes' Anti-Malware тоже смогла скачать только с другой машины, с зараженной не качалась. Но установить ее не удалось, вот такое сообщение выдается:
Имя события проблемы: APPCRASH
Имя приложения: mbam-setup.exe
Версия приложения: 1.30.0.0
Штамп времени приложения: 2a425e19
Имя модуля с ошибкой: mbam-setup.exe
Версия модуля с ошибкой: 1.30.0.0
Штамп времени модуля с ошибкой: 2a425e19
Код исключения: 80000003
Смещение исключения: 00009a58
Версия ОС: 6.0.6001.2.1.0.256.6
Код языка: 1049
Дополнительные сведения 1: eb52
Дополнительные сведения 2: b6ef2ef76b4c66ac856a3fc17160b561
Дополнительные сведения 3: 8399
Дополнительные сведения 4: 5a8e88ddd495c57f1476cc5d4b9cd397

Ко всем или к конкретно какому-то? ping kaspersky.com, ping 195.27.181.34 и tracert что выдает, а также telnet на 80 порт по этим же адресам?? DNS 193.232.112.1 - ваш?
По установке MBAM - скорее всего могут влиять уже установленные защитные программы и прочее ПО, напр. м.б. Windows defender, NTRU Cryptosystems, Secure Storage Manager, на др. компьютере устанавливается МВАМ? winpcap (npf.sys) сами ставили?
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи и прикрепите к сообщению
Включите AVZM и сделайте ещё раз лог AVZ virusinfo_syscheck.zip
Все утилиты следует запускать через правую кн. мыши, выбрав запуск от им. администратора

По IP адресам заходит браузером/пингует нормально, по dns-именам не заходит. Например, на kaspersky.com или ru, drweb.com, avast.com + не качаются все программы: MBAM, ComboFix, RSIT, OTViewIt. Эти программы я качаю с виртуальной машины, которыя стоит на этом же компьютере (на вирт. машине все антивирусные сайты открываются нормально)

c:\>ping www.kaspersky.com

Обмен пакетами с Zuzya [127.0.0.1] с 32 байтами данных:
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128

Статистика Ping для 127.0.0.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

c:\>ping www.drweb.com

Обмен пакетами с Zuzya [127.0.0.1] с 32 байтами данных:
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
.... и т.д.

c:\>ping www.avast.com
Обмен пакетами с Zuzya [127.0.0.1] с 32 байтами данных:
Ответ от 127.0.0.1: число байт=32 время<1мс TTL=128
.... и т.д.

c:\>ping 195.27.181.34

Обмен пакетами с 195.27.181.34 по с 32 байтами данных:
Ответ от 195.27.181.34: число байт=32 время=51мс TTL=53
Ответ от 195.27.181.34: число байт=32 время=50мс TTL=53
Ответ от 195.27.181.34: число байт=32 время=50мс TTL=53
Ответ от 195.27.181.34: число байт=32 время=50мс TTL=53

Статистика Ping для 195.27.181.34:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 50мсек, Максимальное = 51 мсек, Среднее = 50 мсек

c:\>tracert 195.27.181.34

Трассировка маршрута к 195.27.181.34 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.252.254
2 * * * Превышен интервал ожидания для запроса.
3 1 ms 1 ms <1 мс 10.0.95.3
4 3 ms 3 ms 3 ms 62.117.72.126
5 1082 ms 1011 ms 802 ms Ulyan-SR-69.comcor.ru [62.117.100.69]
6 * * 12 ms 62.117.100.133
7 5 ms 5 ms 5 ms 62.117.100.137
8 23 ms 23 ms 23 ms TenGigabitEthernet4-2.ar1.ARN3.gblx.net [208.49.
181.177]
9 41 ms 40 ms 70 ms 64.215.195.150
10 109 ms 76 ms 50 ms xe-11-2-0.xcr1.fra.cw.net [195.2.25.50]
11 50 ms 50 ms 51 ms kaspersky-gw.fra.cw.net [208.175.236.22]
12 50 ms 50 ms 50 ms 195.27.181.34

Трассировка завершена.

c:\>telnet www.kaspersky.com80
Подключение к www.kaspersky.com...Не удалось открыть подключение к этому узлу, на порт 80: Сбой подключения

c:\>telnet 195.27.181.34 80
<--- по IP зашел

Пробовала править файл хостов - результата нет.
Остальные сайты (не антивирусные) работают отлично, собственно, я проблему с антивирусными сайтами обнаружила случайно.

Мой:

c:\>nslookup www.kaspersky.com
Server: ns.msu.ru
Address: 193.232.112.1

Name: www.kaspersky.com
Address: 195.27.181.34

Zuzya, сделайте логи по рекомендациям из поста 6, утилиты можете скачать на другом компьютере или зайти на сайты по ip адресу
и доп. можете попробовать Сброс настроек протокола TCP/ IP в Windows ХР, а также WinsockFix, ipconfig /flushdns

Отчитываюсь.

ComboFix обнаружил и удалил TDSS и руткит.
После этого
1) наконец-то смогла запустить установку MBAM, обновить базу и сейчас сканирую им.
2) пигную и захожу на антивирусный сайты.
3) с Блокнотом все в порядке.

Логи приложила.
По ComboFix.txt лог какой-то не полный по-моему :(

Лог MBAM:

Лог пустой, запустите combofix ещё раз и выложите новый лог C:\ComboFix.txt
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru
По логу virusinfo_syscheck.zip, вы не включили AVZM, запустите AVZ - AVZM - установить драйвер расширенного мониторинга процессов, перезагрузитесь и сделайте новый лог. . Утилиты запускать от имени администратора через правую кн. мыши!

Файлы карантина выслала на e-mail.

Zuzya, На время работы утилит надеюсь защитные программы были отключены?
Сохраните реестр:
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в backup options должны бить отмечены галочками строчки "System registry" и "Current user registry", "Other open user registries" нажмите "Ok" и подтвердите создание папки.

Сохраните текст ниже на fixlsa.reg и примените
Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3.exe (в ОС Vista необходимо запускать через прав. кн. мыши от имени администратора)
Временно отключите антивирус. Выделите и скопируйте текст ниже (Ctrl+C)
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) выберите "вставить" и нажмите кнопку "MoveIt!". Выделите и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Повторите логи RSIT

Было все отключено, кроме брандмауэра Windows

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\Windows\PSEXESVC.EXE not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSSserv.sys\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\procexp90.Sys\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\PSEXESVC\\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\TDSSserv.sys\\ not found.
========== COMMANDS ==========
File delete failed. C:\Users\DianaSha\AppData\Local\Temp\vmware-DianaSha\vmware-vix-DianaSha-2984.log scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\Windows\temp\vmware-vmount.log scheduled to be deleted on reboot.
Windows Temp folder emptied.
FireFox cache emptied.
Opera cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.5.0 log created on 10282008_192427

Files moved on Reboot...
C:\Users\DianaSha\AppData\Local\Temp\vmware-DianaSha\vmware-vix-DianaSha-2984.log moved successfully.
File move failed. C:\Windows\temp\vmware-vmount.log scheduled to be moved on reboot.

Логи RSIT.

Zuzya, логи чистые.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите Clean up
Можете установить антивирус, из бесплатных рекомендую Avira

Для защиты от вирусов типа autorun.inf отключите автозапуск
Рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.

Большое спасибо, что спасли мою рабочую машину. Обязательно изучу рекомендации по защите. Т.к. я счила себя осорожным пользователем, эта тема выпала из моего поля зрения :) Будем исправляться!