ВКонтакте

[counter]

попробуй кэш броузера почистить

[Alex11223]

Ну по ссылке на 1 стр. написано, что это подмена DNS через роутер или ОС.
А винду я бы все же переустановил, мало ли чего еще могли подсунуть)

[vasek123]

Думаю, как вариант, провериться AVZ, просмотреть процессы, автозагрузку, реестр, службы, и т.д., и т.п.... По моему, на компе троян.

Цитата:

Сообщение от Alex11223

А винду я бы все же переустановил, мало ли чего еще могли подсунуть)

Переустановить всегда можно успеть, главное- разобраться в проблеме. Потом, я не уверен, что, кроме трояна есть еще что- то еще...

[Darh]

Сканирование AVZ, что тут не так?

Код:

Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 21.04.2011 21:12:11
Загружена база: сигнатуры - 278154, нейропрофили - 2, микропрограммы лечения - 56, база от 25.08.2010 16:40
Загружены микропрограммы эвристики: 383
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 220217
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 3 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=08B520)
 Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
   SDT = 80562520
   KiST = 804E48A0 (284)
Функция NtAssignProcessToJobObject (13) перехвачена (805E839E->A79DB610), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtClose (19) перехвачена (8056FAF2->F74A4818), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80577925->F74A47D0), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtCreatePagingFile (2D) перехвачена (805B4823->F7498A20), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtDebugActiveProcess (39) перехвачена (80662519->A79DBC10), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (8058121E->A79DB730), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (80578E1C->F74992A8), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtEnumerateValueKey (49) перехвачена (80587691->F74A4910), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtOpenKey (77) перехвачена (80572BFC->F74A4794), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (8058170A->A79DB4B0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (805E1939->A79DB570), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtProtectVirtualMemory (89) перехвачена (80581891->A79DB6D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (80578A1C->F74992C8), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtQueryValueKey (B1) перехвачена (8057303F->F74A4866), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtQueueApcThread (B4) перехвачена (805E3B8D->A79DB790), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetContextThread (D5) перехвачена (80635937->A79DB690), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetInformationThread (E5) перехвачена (80578FA7->A79DB650), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSecurityObject (ED) перехвачена (805D9CAC->A79DB7D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSetSystemPowerState (F1) перехвачена (8066F0E7->F74A40B0), перехватчик C:\WINDOWS\system32\Drivers\d347bus.sys, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80582294->F74F519C), перехватчик spqv.sys
Функция NtSuspendProcess (FD) перехвачена (806376CF->A79DB510), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtSuspendThread (FE) перехвачена (806375EB->A79DB590), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный

[Darh]

Код:

Функция NtTerminateProcess (101) перехвачена (8058E695->A79DB4D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtTerminateThread (102) перехвачена (805838EF->A79DB5D0), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Функция NtWriteVirtualMemory (115) перехвачена (805885C2->A79DB750), перехватчик C:\WINDOWS\system32\DRIVERS\ehdrv.sys, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 25, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
 Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8AFC91F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8AFC91F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A87F4D8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A87F4D8 -> перехватчик не определен
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 33
 Количество загруженных модулей: 352
Проверка памяти завершена

[Darh]

Код:

3. Сканирование дисков
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение D:\trash\cb4a629aa8dff0db904c0ee8\amd64\filterpipelineprintproc.dll
Прямое чтение D:\trash\cb4a629aa8dff0db904c0ee8\amd64\mxdwdrv.dll
Прямое чтение D:\trash\cb4a629aa8dff0db904c0ee8\amd64\xpssvcs.dll
Прямое чтение D:\trash\cb4a629aa8dff0db904c0ee8\i386\filterpipelineprintproc.dll
Прямое чтение D:\trash\cb4a629aa8dff0db904c0ee8\i386\mxdwdrv.dll
Прямое чтение D:\trash\cb4a629aa8dff0db904c0ee8\i386\xpssvcs.dll
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe, c:\program files\common files\program shared\isass.exe"
>>> C:\explorer.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Модифицирован ключ запуска проводника
 >>  Таймаут завершения процессов находится за пределами допустимых значений
 >>  Таймаут завершения служб находится за пределами допустимых значений
 >>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
 >>  Заблокирован пункт меню Справка и техподдержка
 >>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы
Проверка завершена
Просканировано файлов: 135824, извлечено из архивов: 94535, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 21.04.2011 21:32:02
Сканирование длилось 00:19:51

[vasek123]

Исходя из протокола AVZ я бы проверил, все- же автозагрузку и реестр, нет гарантии, что, у вас гнездится троян... Кстати, почему режим лечения не использовали?

p.s. Кто вам ставил и настраивал "винду", если не секрет? Все что можно и нельзя разрешенно. Такое, мне, даже, в самом страшном кошмаре не приснится, что творится у вас...

[Darh]

Друг брата ставил, это давно уже было. Сам полез смотреть вот только когда приспичило, не рад сам(((