Был обнаружен и удалён вирус Packet.Win32.Tdss.z (по Касперскому), файл hosts вернул на место, в старом были записи, типа, 0.0.0.0 kaspersky.ry, записей очень много.

Но при обращении сайты не открываются, которые были прописаны в hosts. Ping, tracert сайтов превышают лимит ожидания, но по имени показывают адрес IP - правильно. При открытии любых страниц, локальный адрес MyPC (192.168.1.10), но при попытке зайти на заблокированные сайты, локальный адрес MyPC (0.0.0.0).

Меня интересует больше вопрос, каким образом до сих пор без файла hosts и удалённых вирусов, происходит блокирование. И подскажите, пожалуйста, какой скрипт мне поможет.

Win XP SP3 (update), Nod32 3.0.684.

логи-логи-логи, другого компьютера нет, сложно скачать антивирус, по возможности в скором времени прикреплю лог...

Подготовьте логи. (http://forum.oszone.net/thread-98169.html)

+
Скачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Gmer проверил, только системный диск, все проверить очень долго (полсуток где-то), ещё ПК виснет при выводе фокуса с программы и после закрытия, лечится reset`ом (при других программах ПК не виснет).
O4 - HKLM\..\Run: [servises] E:\XPCODE\system32\servises.exe - этого вируса нет как полгода.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "C:\Windows\system32\drivers\TDSSoeqh.sys"
gmer.exe -del file "C:\Windows\system32\TDSSosvd.dll"
gmer.exe -del file "C:\Windows\system32\TDSSnrsr.dat"
gmer.exe -del file "C:\Windows\system32\TDSSnmxh.dll"
gmer.exe -del file "C:\Windows\system32\TDSSsbhc.dll"
gmer.exe -del file "C:\Windows\system32\TDSSrhym.dll"
gmer.exe -del file "C:\Windows\system32\TDSStkdv.dll"
gmer.exe -del file "C:\Windows\system32\TDSSbubx.log"
gmer.exe -del file "C:\Windows\system32\TDSSvvbi.dll"
gmer.exe -del file "C:\Windows\system32\TDSSbivk.log"
gmer.exe -del file "C:\Windows\system32\TDSSkpjp.log"
gmer.exe -del file "C:\Windows\system32\drivers\MSIVXuglsurvquhgysettaklkrsyapelcnlpv.sys"
gmer.exe -del file "C:\Windows\system32\MSIVXgkrjetwllkxenxalmyjahrlngkjmtoye.dll"
gmer.exe -del file "C:\Windows\system32\MSIVXpliyvnoetyxysialqjnqnjoosfusivpx.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)


Сделайте новый лог gmer.

При работе ComboFix на втором этапе вылетела ошибка приложения Pre, название мог не запомнить.

В cleanup.bat больше половины файлов найдено не было, сейчас остались файлы TDS*, из списка - TDSStkdv.dll.

http://forum.oszone.net/thread-164133.html - воспользуйтесь TDSS Killer. Попробуйте скачать новую версию CF. Если не запустится, то полиморфную версию AVZ (http://virusnet.info/forum/downloads.php?do=file&id=11&act=down)

И давайте еще так продублируем

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del file "E:\XPCODE\system32\drivers\TDSSoeqh.sys"
gmer.exe -del file "E:\XPCODE\system32\TDSSosvd.dll"
gmer.exe -del file "E:\XPCODE\system32\TDSSnrsr.dat"
gmer.exe -del file "E:\XPCODE\system32\TDSSnmxh.dll"
gmer.exe -del file "E:\XPCODE\system32\TDSSsbhc.dll"
gmer.exe -del file "E:\XPCODE\system32\TDSSrhym.dll"
gmer.exe -del file "E:\XPCODE\system32\TDSStkdv.dll"
gmer.exe -del file "E:\XPCODE\system32\TDSSbubx.log"
gmer.exe -del file "E:\XPCODE\system32\TDSSvvbi.dll"
gmer.exe -del file "E:\XPCODE\system32\TDSSbivk.log"
gmer.exe -del file "E:\XPCODE\system32\TDSSkpjp.log"
gmer.exe -del file "E:\XPCODE\system32\drivers\MSIVXuglsurvquhgysettaklkrsyapelcnlpv.sys"
gmer.exe -del file "E:\XPCODE\system32\MSIVXgkrjetwllkxenxalmyjahrlngkjmtoye.dll"
gmer.exe -del file "E:\XPCODE\system32\MSIVXpliyvnoetyxysialqjnqnjoosfusivpx.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\TDSSserv.sys"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Нод32 обновил через альтернативные сайты. После закрытия gmer, компьютер опять завис.

Нод нашёл ещё один вирус.
E:\XPCODE\system32\VOnALro.exe - a variant of Win32/Kryptik.BXD trojan - cleaned by deleting - quarantined [1]

Ничего вредного в логе не увидел. Попробуйте это средство.

• Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

Симптомы те же, пакеты уходят на заблокированные IP, но не приходят обратно. Думаю, что в этих пакетах портятся данные, только где, не понятно...

tebEeN, остатки вирусов TDSS были удалены
Trojan Files Found:

E:\XPCODE\SYSTEM32\TDSSMTVD.dat - Deleted
E:\XPCODE\SYSTEM32\TDSSOSVD.dat - Deleted
E:\XPCODE\SYSTEM32\TDSSTKDV.log - Deleted
Проблему я так понял это не решило? Попробуйте ещё утилитой ComboFix прогнать комп.

• Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Порядок действий.

1. ComboBox1.

2. Sfc.exe /Scannow. http://support.microsoft.com/kb/310747/ru

3. ComboBox2. Полетели дрйвера видео ATI. Пишет не те, что оборудование (запуск этого устройства невозможен), похоже на реестр . google стал пинговаться, но на сайт не пускает.

4. Sfc.exe /Purgecache /Scannow /.

5. При запуске появилось окно Alert, скачал ComboBox заново.

6. ComboBox3. Был удалён из Моих документов файл Valve.reg.

Во всех проверках ComboBox происходила ошибка pev.cfxxe (http://virusnet.info/forum/showthread.php?t=3485) - это не помогло.

Думаю, что Windows уничтожать надо, т.к. для работы он уже опасен, но пока этот раздел оставлю для опытов.

http://forum.drweb.com/index.php?showtopic...st&p=373597

Вот это помогло.

1. Скопировал из E:\XPCODE\repair\ файлы SAM, Security, System в E:\XPCODE\system32\config\ (к старым добавил REM). После запуска Windows, сеть работала, но ничего не пинговалось.

2. Восстановил файл SAM (снял REM), после запуска Windows, драйвера видеокарты сами установились.

3. Восстановил Security, System, пинг появился.

4. Набрал route -f, сайты все разблокировались.

Спасибо за помощь.