Запустите gmer, уберите галочку с Files и попробуйте сделать лог gmer ещё раз. »

Всё равно перезагружается...

К серверам Novell или сетям MS, где используется только такой протокол (не TCP/IP) подключаетесь? Если нет, не нужно »

Скорее всего нет.

Подключаете сетевые диски лок. сети? »

Нет.

DyadyaGenya, мы кажется о разных вещах говорим. Я не нахожусь ни в какой домашней локальной сети, я подключена напрямую к провайдеру, а говоря о локальных ресурсах, имею ввиду сайт провайдера, файлообменный сервис провайдера и т.д.

И... наконец-то логи... )

Error - 26.01.2009 17:23:33 | Computer Name = ALYONA | Source = ipnathlp | ID = 30013
Description = DHCP-распределитель отключил себя по IP-адресу 10.8.229.231, поскольку
этот
IP-адрес лежит вне области 192.168.0.0/255.255.255.0, из которой выбираются адреса,
распределяемые DHCP-клиентам. Чтобы включить DHCP-распределитель по этому IP-адресу,
измените
область, включающую IP-адрес,или измените IP-адрес так, чтобы он попал в эту область.

qaz741, FlashGet рекомендую удалить и использовать другой менеджер закачек. По логам зловредов не видно, в gmer попробуйте оставить только галочку services и registry и сделать лог.

FlashGet рекомендую удалить и использовать другой менеджер закачек. »

Он удален был несколько дней назад. Папку в Program files только что удалила (в ней всё равно кроме подпапок ничего не было). Может что-то в реестре еще осталось от него?

Error - 26.01.2009 17:23:33 | Computer Name = ALYONA | Source = ipnathlp | ID = 30013
Description = DHCP-распределитель отключил себя по IP-адресу 10.8.229.231, поскольку
этот
IP-адрес лежит вне области 192.168.0.0/255.255.255.0, из которой выбираются адреса,
распределяемые DHCP-клиентам. Чтобы включить DHCP-распределитель по этому IP-адресу,
измените
область, включающую IP-адрес,или измените IP-адрес так, чтобы он попал в эту область. »

IP-адрес назначается провайдером, он не постоянный ни для локального подключения, ни для подключения к интернету..

qaz741, по логу гмер тоже ничего зловредного.
По DHCP задайте вопрос своему провайдеру, т.к. вероятно DHCP сервер по умолчанию не настроен на ваш диапазон адресов или, если вы используете ICS и DHCP server на своем компьютере, настройте его, см. дополнительно
Подключение к Интернету в домашней или малой сети (http://technet.microsoft.com/ru-ru/library/cc785699.aspx)
Прочее - [решено] Расшаривание Interneta через VPN - Сетевое ... (http://forum.oszone.net/thread-102083.html) - пост 2
и поиск в гугл по ключ. слову DHCP-распределитель.

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте SmitfraudFix здесь (http://siri.geekstogo.com/SmitfraudFix.exe) или здесь (http://siri.urz.free.fr/Fix/SmitfraudFix.zip), запустите, выберите опцию 1 – Search
После окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\rapport.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\rapport.txt и прикрепите к сообщению.
Инструкция здесь (http://siri.urz.free.fr/Fix/SmitfraudFix_En.php) (на англ.), здесь (http://virusnet.info/forum/showthread.php?t=511) и здесь (http://www.spyware-ru.com/smitfraudfix/)

По DHCP задайте вопрос своему провайдеру, т.к. вероятно DHCP сервер по умолчанию не настроен на ваш диапазон адресов или, если вы используете ICS и DHCP server на своем компьютере, настройте его, »

На что это влияет? Что может произойти, если этим вопросом не заниматься?

На что это влияет? »
На появление ошибок в журнале событий, м.б. на работоспособность сети (получение ip адреса)
Что может произойти, если этим вопросом не заниматься? »
В таком случае видимо проблема не решится и ошибки не исчезнут.
По логу МВАМ чисто. Лог SmitfraudFix где?
Нажмите
Пуск - выполнить –
вставьте
dir C:\windows\system32 /A:ashr >C:\scan.txt
файл C:\scan.txt прикрепите к сообщению.

Лог SmitfraudFix где? »

Пропустила, прикрепляю.

Выполните
Пуск - выполнить -
dir C:\windows\system32 /A:ashr >C:\scan.txt
файл C:\scan.txt прикрепите к сообщению. »

Windows не удалось найти 'dir'... бла-бла-бла

qaz741, сорри, забыл cmd
Выполните
Пуск - выполнить - cmd
Вставьте
dir C:\windows\system32 /A:ashr >C:\scan.txt
файл C:\scan.txt прикрепите к сообщению.
Проверьте на virustotal.com C:\WINDOWS\system32\ioctrl.dll
ссылку на результат проверки выложите в след. сообщении.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt (http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe), запустите, нажмите CleanUp!
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Проверьте систему с помощью F-Secure Online Scanner (http://support.f-secure.com/enu/home/ols.shtml), в опциях выберите "Full System Scan", если вирусы будут найдены, выберите "Submit samples to F-Secure" и "Automatic cleaning", когда удаление завершится, нажмите "Show report ", лог выложите в следующее сообщение.

Cкачайте полиморфный AVZ, переименованный в game.pif здесь (http://ifolder.ru/10252170), сохраните в отдельную папку и запустите. обновлять антивирусные базы для этой версии не требуется, сделайте логи virusinfo_syscure.zip, virusinfo_syscheck.zip (3-ий и 2-ой стандартный скрипт AVZ) и новый лог hijackthis
Скачайте и запустите GetSystemInfo (GSI) (ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe), укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.

сорри, забыл cmd »

Угу. Я тоже на полном автоматизме выполняю по пунктам, могла бы догадаться ))) Правда у меня отмазка есть, я еще не полностью выздоровела после гриппа :biggrin:

Отчет какой-то странный, почти пустой, так и должно быть?

Проверьте на virustotal.com C:\WINDOWS\system32\ioctrl.dll »

http://www.virustotal.com/ru/analisis/df04bbd2663202de6c67f504cf957e24

Отчет какой-то странный, почти пустой, так и должно быть? »
Да, это значит скрытых файлов от kido в C:\WINDOWS\system32 нет.
Жду логи F-Secure Online Scanner (http://support.f-secure.com/enu/home/ols.shtml) и GetSystemInfo (GSI) (ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe)

Проверьте систему с помощью F-Secure Online Scanner, в опциях выберите "Full System Scan", если вирусы будут найдены, выберите "Submit samples to F-Secure" и "Automatic cleaning", когда удаление завершится, нажмите "Show report ", лог выложите в следующее сообщение. »

Что-то я не разобралась как перейти от первого шага (License Terms) к следующим. Не вижу никаких кнопок для перехода или т.п. Специально открыла в IE, т.к. советуют использовать его при проверке... IE 7.

qaz741, на этой страничке надо вкл. Active X (можете сайт в доверенный добавить), после "Accept button" будет кн. "Full System Scan"
Если не получчится, можете провериться с помощью других онлайн сканеров
TrendMicro™ HouseCall Java Scan (http://www.trendmicro.com/hc_intro/default.asp) и/или
Panda ActiveScan (http://www.pandasecurity.com/homeusers/solutions/activescan/?)
ESET Online Scanner (http://www.eset.com/onlinescan/index.php)
BitDefender Online Scanner (http://www.bitdefender.com/scan8/ie.html)
Windows Live OneCare safety scanner (http://safety.live.com/site/en-US/center/howsafe.htm?s_cid=mscom_msrt)

логи проверок желательно сохранить

qaz741,
мы кажется о разных вещах говорим. Я не нахожусь ни в какой домашней локальной сети, я подключена напрямую к провайдеру, а говоря о локальных ресурсах, имею ввиду сайт провайдера, файлообменный сервис провайдера и т.д. »

ну и скажите мне на милость как вы туда подключены? :) думаю именно по локальной сети :) просто вы не знаете подробностей, способов то много, подозреваю что у вас стоит модем по которому вы якобы выходите в инет и заодно на ресурсы провайдера :) если нет модема, то тем более через локалку, думаю это обьяснять не надо.
не говоря уже об этом признаке
Значок в трее "Подключение по локальной сети" перманентно находится в состоянии "Получение сетевого адреса" »
А для того чтоб понять как зависает машина использующая роутер или что то подобное могу спросить, вы когда нибудь видели как его взламывают и что с машиной происходит? если бы не отчет про дос атаки, то вообще можно было бы предположить глючность модема, поверьте, может вешать машину. для интереса запустите команду трасерт с указанием файлообменника, думаю будете удивлены :) оказавшись в локальной сети с ним :)
ну и в добавок могу посоветовать несколько прог, вернее разные их версии одного производителя, более старая шаровая, к сожалению не полная http://www.ptsecurity.ru/xs7demo.asp - ссылка заменена ссылкой на офиц. сайт Xspider
на офсайте найдете полную версию, она вам и расскажет про дос-атаки, только качайте новую версию, у них названия отличаются, здесь её у меня нет, а название не помню, могу на работе глянуть, дома использую подрезаный шаровый вариант. а сканирование с сайтов пропускает то что эта прога не пропустит :) хотя как вариант постоянно и на шару сайты подходят :)

ну и скажите мне на милость как вы туда подключены? думаю именно по локальной сети »

Ну логично, что по локальной сети. Без использования модема и роутера. Проблемы с подключением начались после использования утилиты wwdc. Сейчас всё замечательно работает и ничего не виснет, после того, как я поменяла обратно кое-что.

Pili, онлайн-проверка в процессе (Panda ActiveScan), 42%... уже часа три проверяет.

Спасибо за беспокойство, я обязательно сообщу, когда проблем не будет »
Проблема не решена (вернее, может и решена, но не подтверждена вами))) »
Сейчас всё замечательно работает и ничего не виснет, после того, как я поменяла обратно кое-что. »
Видите ли, я не буду подтверждать решение проблемы, пока вы мне не сообщите (как обещали), что проблем, связанных с вирусами (также см. название темы), у вас не осталось (напомню, что по остальным логам чисто, зловред был удален скриптом из 2-го поста), это значит проверка сканерами и другими антивирусами (http://www.geekstogo.com/forum/Free-Antivirus-Antispyware-Software-t38.html) будет продолжена дальше (впрочем в этом ничего плохого, но если нет вирусов, смысла мало, разве что научитесь лучше бороться с вирусами и другим сможете советовать) :)
Pili, онлайн-проверка в процессе (Panda ActiveScan), 42%... уже часа три проверяет. »
Проценты проверки увеличиваются? Если нет, возможно процесс проверки завис, попробуйте ещё раз или переключитесь на другой онлайн сканер.

Проценты проверки увеличиваются? Если нет, возможно процесс проверки завис, попробуйте ещё раз или переключитесь на другой онлайн сканер. »

Процесс идет, бегунок движется.

Про то, что всё замечательно работает, я имела ввиду локальную сеть и получение сетевого адреса. А по поводу остального у меня еще пока уверенности нет :) Полной уверенности ))

Рано радовались )) При онлайн проверке нашлось какие-то 9 гадостей, отчётик прикрепляю, гляньте. Одно дело, когда нашлось в \ESET\infected\ и совсем другое, когда что-то есть в System Volume Information и папке windows.

А по поводу остального у меня еще пока уверенности нет Полной уверенности )) »
Какие конкретно проблемы наблюдаются, связанные с вирусами?
qaz741, все что нашлось - неактивно.
в System Volume Information не опасно, если не загружаться с предыдущей точки восстановления (по правилам надо удалять предыдущие точки восстановления, создавать новую или отключать восстановление системы), но System Volume Information нашелся только SmithFraudFix - это не зловред (вы его ранее применяли)
В папке windows нашлось только c:\windows\amcdl - Adware, в других логах не было
Остатльное и не должно было отражаться в других логах, это ваш софт и keygen
C:\Program Files\MetroMir\MetroMirUtils.dll
E:\C диска С\Локальный диск (D)\Downloads\software\setup_ps28.exe[Update.exe]
E:\Pub\БИЗНЕС, ПРОДАЖИ, МАРКЕТИНГ\ИНТЕРНЕТ-БИЗНЕС\ip_confirm.exe
F:\bonus\adds\total\Total Commander 7.00.exe[ScbData.exe]
E:\Install\Nero 7\Nero[1].Burning.ROM.7.0.1.2.Keygen.zip
Это вряд ли зловреды, м.б. ложное срабатывание (кроме м.б. keygen), можете проверить на virustotal.com, но если хотите удалить, то можно и удалить:
Деинсталлируйте MetroMir (C:\Program Files\MetroMir\), если этот F:\bonus\adds\total\Total Commander 7.00.exe устанавливали, то и его деинсталлируйте.
Скачайте OTMoveIt3 by OldTimer (http://oldtimer.geekstogo.com/OTMoveIt3.exe) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Files
c:\windows\amcdl
E:\Pub\SOFT\БРАУЗЕРЫ и связанное с ними\FirefoxPortable.rar
F:\bonus\adds\total\Total Commander 7.00.exe
C:\Program Files\MetroMir\MetroMirUtils.dll
C:\Program Files\MetroMir\
E:\C диска С\Локальный диск (D)\Downloads\software\setup_ps28.exe
E:\Pub\БИЗНЕС, ПРОДАЖИ, МАРКЕТИНГ\ИНТЕРНЕТ-БИЗНЕС\ip_confirm.exe

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
Если что-то захотите оставить, можете из скрипта убрать соответствующие строчки.
Запустите проверку следующим онлайн сканером (выше давал список, т.к. у вас Eset, то проверку этим онлайн сканером можете пропустить), предупреждаю, онлайн сканеры могут находить в карантине других антивирусов зловреды, это нормально и не опасно.

BitDefender Online Scanner »

Очень стрёмный сканер. Удаляет всё без подтверждения. Зачем-то удалил старый qip8010.exe (инсталляционный) :) Мне как бы всё равно, старая версия да и в любой момент можно скачать, но сам факт... В общем сканер этот совсем не понравился, им я точно пользоваться больше не стану. Ничего особенного он не нашел, поудалял только файлы с карантина НОДа.

С первыми двумя онлайн-сканерами у меня не сложилось, не знаю почему. Актив Х установила, включила, сайты добавлены к доверенным узлам. И ничего не изменилось. Может, если будет время, проверю еще и последним, остался только он нетронутым.

В папке windows нашлось только c:\windows\amcdl - Adware, в других логах не было
Остатльное и не должно было отражаться в других логах, это ваш софт и keygen »

Меня интересовало именно в системных папках что он там понаходил.