Проблема (вирус, похоже)

Lambert 01.07.2009 - 15:38

Вчера пришли соседи с офиса напротив (у них контора как и у нас маленькая, сисадмина штатного, как и у нас, нету - несложные проблемы стараются решать по мере сил сами).
Сетка такая: ДСЛ модем - роутер - 3 компа.
Проблема: на 1 компе пропал инет.

Проверил - пингуется и роутер, и шлюз, а браузер страницы не открывает.
Настройки сетевого подключения проверил - правильные.
В автозагрузке и процессах ничего подозрительного нет.
Посмотрел, отсутствует файл Hosts. Допрос с пристрастием показал, что антивирусник (кажется, куреит) нашел и грохнул какого-то виря. Стало быть, и Hosts пропал не случайно. Я Hosts восстановил, однако браузер по-прежнему не открывает страницы.

Собственно вопрос: где эта падла еще нагадила? В реестре искать?

Заранее благодарен,
Lambert.

Manstopper 01.07.2009 - 15:51

1. В консоли с зараженной машины
tracert mail.ru (к примеру)
Что говорит?

2. В консоли с зараженной машины попробовать
telnet mail.ru 80
Должно соединиться (как я понял из исходного поста, инет не через прокси)

3. По любому скачать нахаляву Kaspersky Rescue Disk
http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/
Заболванить, загрузить зараженный комп с болванки и все просканить

VK_SPb 01.07.2009 - 15:56

Содержимое файла Hosts только такое? :

127.0.0.1 localhost

Lambert 01.07.2009 - 17:17

Машинка была зараженная, но была проверена куреит'ом полностью (вирус был грохнут, логи куреитовские я завтра посмотрю, сразу не догадался). Я когда к ним пришел, тоже куреитом с лив сд все проверил - ничего не обнаружено.

Содержимое hosts сейчас такое 127.0.0.1 localhost

В консоли telnet и tracert попробую завтра.

Каспером тоже могу завтра просканить.

С уважением,
Lambert.

badydoc 01.07.2009 - 18:37

еще вот этим проверьтесь: AVZ http://z-oleg.com/
у нее в закладках - есть "восстановление системы"

Lambert 02.07.2009 - 17:07

Коллеги, всем спасибо.
AVZ'ом тоже попробую.
Все же думаю там в реестре что-то прописано.

На работе сейчас страшная запарка, не до соседей мне было. Завтра поковыряю еще, по результатам отпишусь.

С уважением,
Lambert.

badydoc 02.07.2009 - 17:54

кстати, а на самом роутере никаких хитрых настроек нет? типо доступ по МАС-адресам или еще чего? Можно еще попробовать в другой порт воткнуть.

Lambert 02.07.2009 - 22:33

Совершенно точно нету. На роутер (ДЛинк 604) я через браузер с другого компа спокойно вошел, настройки поглядел.
Другой порт тоже пробовал.
Прошивку свежую тоже скачивал, но менять не стал - думаю, не в ней дело.

С уважением,
Lambert.

buskermolen 02.07.2009 - 23:01

Lambert
Проверил - пингуется и роутер, и шлюз, а браузер страницы не открывает.

А какой там указан DNS сервер? Что говорит nslookup mail.ru ?

badydoc 02.07.2009 - 23:28

в качестве DNS и основного шлюза должен быть указан IP роутера

buskermolen 02.07.2009 - 23:30

Не на каждом роутере запускается и конфигурится DNS.

Lambert 03.07.2009 - 12:17

badydoc
в качестве DNS и основного шлюза должен быть указан IP роутера

Так и есть.

badydoc 03.07.2009 - 12:33

А если правый клик сделать на "сетевое окружение", "свойства" там есть "подключение по локальной сети" и "шлюз интернета" - "подключение к интернету"?

Lambert 03.07.2009 - 12:43

Нету там шлюза интернета, только "подключение по локальной сети". Как и на остальных двух компах, где все нормально.

С уважением,
Lambert.

asthan 03.07.2009 - 09:35

Думаю TCP/IP попробовать полечить надо.

Если у вас "слетела" сеть после лечения...
http://virusinfo.info/showthread.php?t=10267 (сам не пробовал, но хвалят)
http://www.mednikov.ru/67 (помогает)

Lambert 03.07.2009 - 23:55

Спасибо, буду пробовать.

С уважением,
Lambert.

Aleksei 04.07.2009 - 14:47

Попрубой Ad-Aware SE Professional, меня много раз выручала

Gandalf 04.07.2009 - 18:23

Aleksei
Попрубой Ad-Aware SE Professional, меня много раз выручала

Наверное, отошел от компов уже?
SE она была году в 2007.
В 2008 так и называлась (2008), сейчас AE

Aleksei 06.07.2009 - 20:35

Наверное, отошел от компов уже?
SE она была году в 2007.
В 2008 так и называлась (2008), сейчас AE

Редко ей пользуюсь, за обновлениями не слидил, она и старая норм работает

Lambert 07.07.2009 - 12:00

Отчитываюсь...

Попробовал утилиты, рекомендованные asthan'ом - не помогло.
Стал грешить на дрова сетевой карты, обновил - не помогло.
Сделал восстановление винды (думал, может какие-то компоненты винды были повреждены вирусом) - не помогло.
Тут я вспомнил, что кое-что забыл... и пинганул этот комп с другого. Он не отвечает. При том, что с него самого пингуется все. Может это быть каким-то изощренным глюком сетевухи? Попробовать другую?
И еще: в процессах есть какой-то dllhost. Что это такое, может в нем дело?

Антивирусники по-преженему ничего не ловят... Качал самые свежие, каспера, веба, аваста.

С уважением,
Lambert.

asthan 07.07.2009 - 09:27

хм, файрволла на сетевухе нет?
Воткнуть отдельную PCI сетевуху попробовать, дрова будут новые, если не она то протоколы.
Загрузиться с LiveCD проверить систему.

Vasi@ 07.07.2009 - 11:06

Lambert
Тут я вспомнил, что кое-что забыл... и пинганул этот комп с другого. Он не отвечает. При том, что с него самого пингуется все. Может это быть каким-то изощренным глюком сетевухи? Попробовать другую?

Мож кто снифером в сети балуется, поробуйте отключить все другие компы и включить только этот будет ли интернет работать.
И попробывать LiveCD тоже не мешает.

badydoc 07.07.2009 - 15:31

Lambert
Тут я вспомнил, что кое-что забыл... и пинганул этот комп с другого. Он не отвечает. [B]

не показатель - возможно на компе просто запущена служба "Брандмауэр" или насройки антивируса не дают проходить пингам.

Lambert
[B]И еще: в процессах есть какой-то dllhost. Что это такое, может в нем дело?

подозрительная какая-то штука 😊 В общем надо бы (как правильно говорят), загрузится с Live CD и еще разок проверится антивирусами. Или винт подключить к другой машине.

L0Ki 07.07.2009 - 15:58

Lambert
в процессах есть какой-то dllhost. Что это такое, может в нем дело?

dllhost.exe (Microsoft DCOM DLL Host Process)

Программа отвечает за обработку COM+ процессов в Internet Information Services (IIS) и других программах. Например, ее использует .NET Runtime. В системе может быть загружено несколько процессов с именем DLLhost.exe.

Файл с dllhost.exe всегда расположен в папке C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов и сетевых червей, использующих имя DLLhost.exe для скрытия своей активности в системе.

Lambert 07.07.2009 - 18:20

Первое, что я сделал - отключил все остальные компы. Загрузился с Лив СД, проверил комп, и не включая остальные компы, перезагрузился... Это было давно, и не помогло...
Я очень подозреваю, что если все форматнуть и переустановить, то все будет ОК, но:

1) "Это не наш метод"

2) там до фаллоса лицензионного софта, и просто лениво его переустанавливать;

3) любопытство заело.

4) Ясен пень, что при восстановлении системы ( что я делал) не вносятся изменения в реестр и проч. Т.е. если это зараза, то ей есть где жить...

5) Dllhost раньше отсутствовал в процессах...

С уважением,
Lambert.

P.S. Файерволла нету.

badydoc 07.07.2009 - 20:25

а с Live CD сеть работает?

Lambert 09.07.2009 - 12:26

До этого я не додумался, спасибо.

С уважением,
Lambert.

Thug 09.07.2009 - 12:05

Грузить с лайв-сд и проверять. Кстати, в ру_сисадминс похожий вопрос сегодня с утра прочел. http://community.livejournal.com/ru_sysadmins/1138491.html

Aleksei 09.07.2009 - 18:56

Проверь вот такой программой Ad-Aware 2008 Free,
,скачать можно тут - http://softarchive.ru/item/10276.html

Lambert 10.07.2009 - 21:44

Коллеги,
так как завтра я уезжаю в отпуск, то дальше с компом будут бороться его несчастные владельцы. Чувствую, снесут они в итоге винду и этим дело закончится. Однако, совет прогнать Ad-Aware я им передам. Как и пластинку с ПаппиРус'ом.

Спасибо за помощь и советы,

Lambert.