» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

По совету продублирую вопрос.
(http://forum.ru-board.com/topic.cgi?forum=13&topic=1464&start=420#3)
WinXP (со всеми обновами), IE8, Maxthon2, BD AV Plus 2013, Comodo, ASUS RT_N66U.
Несколько дней тому возникла ситуация: при попытке зайти на форум, в Maxthon происходит подмена адреса и войти не возможно. Пример:
http://forum.ru-board.com/topic.cgi?forum=5&topic=35149&start=4560#5 [?]
http://yandex.ru/topic.cgi?forum=5&topic=35149&start=4560
Через Comodo Dragon удается прорваться, но не всегда (та же подмена).
PingPlotter дает такие "картинки":
http://img819.imageshack.us/img819/6003/jaj9.jpg
http://img163.imageshack.us/img163/250/rx18.jpg
Такая ситуация касается только ru-board, с остальными сайтами (достаточное количество) никаких проблем. Сканирование на вирусы различными прогами делал.
Хост смотрел.
Повторно зайти через Драгон удается только после очистки DNS кеша.

AlexIva
в консоль, затем сделайте nslookup forum.ru-board.com и покажите результат (вместе с тем, кто так ответил)

AlexIva
а в IE такая же проблема? какие DNS прописаны в свойствах сетевого подключения? какие DNS в настройках роутера?

Победил наполовину.

Цитата:

какие DNS в настройках роутера?

Автомат.

Цитата:

сделайте nslookup forum.ru-board.com и покажите результат

Провайдер - Воля, автомат IP и DNS. В свойствах подключения всегда так и стояло. А вот появился в Предпочтительном DNS этот адрес (5. ... , режим поменялся на ручной). За последние дни обновлял прошивку роутера, хотя не помню до или после появления граблей (а че вообще полез в роутер?).
Сбило то, что грабли появлялись только с ру-бордом. На остальных сайтах даже намека не было.
Сейчас на сайт попадаю без проблем и через Maxthon и через IE8. Картинка такая

Но в них не сохраняются рег. данные. Логин и пароль принимает, благодарит, но Вход на форумы - регистрации нет. Комп (куки) чистил. На других форумах без проблем.
В Драгоне рега сохранилась, пока не пробовал выйти и снова зайти.
ЗЫ
В настройки роутера вхожу без проблем. Пробежался по настройкам - вроде все как обычно. Этот комп через шнурок, ВАЙ-ФАЙ работает, но на форум через него заходить не пробовал.

Цитата:

Провайдер - Воля, автомат IP и DNS.

Адреса днс серверов провайдера какие?

zakataika
В свойствах TCP/IP - автомат, в свойствах подключения - Поддержка - Подробности - DNS-сервер 192.168.1.1

Если стоит CIS, то он имеет нехорошее свойство подменять днс серверы на свои.
C:\Windows\system32>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : NotSucksTravel
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

PPP adapter Intercon:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intercon
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 85.113.130.165(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 85.113.128.131
85.113.147.110

При инсталле CIS опция "своих" DNS-серверов не включалась. И всегда сакраментальный вопрос: раньше же работало?

Добавлено:
zakataika
Эти настройки,имхо, для прямого подключения модема к компу.
Поборол и эту заморочку. В Свойства обозревателя - Конфиденциальность - Управление веб-узлами стояло "всегда блокировать ru-board.com"
Так и не понял откуда все заморочки.

AlexIva
В свойствах сетевухи/сетевух обязательно посмотрите. Даже после деинсталляции (а еще бы, хрен удалишь) остаются в свойствах тсп комодовские днс-ы, будь они неладны.

zakataika
Дык Комод сейчас стоит (фаером) и все работает как и работало.

AlexIva
Цитата:

Дык Комод сейчас стоит (фаером) и все работает как и работало.

И будет работать. За исключением...
Вот тут
что написано?

AlexIva

Цитата:

Но в них не сохраняются рег. данные. Логин и пароль принимает, благодарит, но Вход на форумы - регистрации нет. Комп (куки) чистил. На других форумах без проблем.

дату проверьте на компьютере.

ps:
Цитата:

inetnum: 5.104.108.0 - 5.104.108.255
netname: MYLOC-DE-DUS2-DEDICATED
descr: webtropia dedicated Server by http://www.webtropia.com
descr: myLoc managed IT AG
country: DE

так что вы явно что то подхватывали, что добавило вам левый DNS

Cheery

Цитата:

дату проверьте на компьютере.

С датой все норм.Я же уже написал

Цитата:

Поборол и эту заморочку. В Свойства обозревателя - Конфиденциальность - Управление веб-узлами стояло "всегда блокировать ru-board.com"

Спасибо всем участвовамшим и толкавшим на мысль.

посветуйте где копать ? проверял на вирусы есет смарт 4.7 комп подключен к интернету через прокси порт 8080 для всех протоколов при открытии оперы и сатов однокласники вк маилру фейсбук идет скрытая неприрывная закачка отсюда [more]http://r7---sn-gvnuxaxjvh-n8vs.c.youtube.com/videoplayback?algorithm=throttle-factor&burst=40&clen=16648150&cp=U0hWTVBUVF9IUUNONl9ITlhDOmNLbmJNMlllSW16&cpn=4gJy_mYe92jmMZvi&dur=159.433&expire=1378096237&factor=1.25&fexp=931005%2C929117%2C929121%2C929906%2C929907%2C929922%2C929127%2C929129%2C929131%2C929930%2C936403%2C925726%2C925720%2C925722%2C925718%2C929917%2C929933%2C920302%2C913428%2C919811%2C913563%2C904830%2C919373%2C930803%2C904122%2C938701%2C936308%2C909549%2C912711%2C904494%2C904497%2C900375%2C936312%2C906001&gir=yes&id=f0883b13b9117458&ip=95.159.177.234&ipbits=8&itag=135&keepalive=yes&key=yt1&lmt=1377926997159321&ms=au&mt=1378075896&mv=m&range=10149888-11841535&ratebypass=yes&signature=37FA98EF1BED9DDC0D4AB4B7EE27FD2FCD9DE9F2.16F3F7DC4223C8B152EF0AF4583073E232E49FA5&source=youtube&sparams=algorithm%2Cburst%2Cclen%2Ccp%2Cdur%2Cfactor%2Cgir%2Cid%2Cip%2Cipbits%2Citag%2Clmt%2Csource%2Cupn%2Cexpire&sver=3&upn=kcR9X7dr_mw[/more]
Что то с ютуба очевидно что делать то товарищи ?

Kuksa01 установленные расширение для браузеров и т.д. в первую очередь проверь.

Здравствуйте.
Кто-то из читателей сталкивался с win32.motovilo.a ?
По этому же запросу нахожу первую ссылку на ресурс eset :
http://www.virusradar.com/en/Win32_Motovilo.A/description
и сайт не работает.
в описании Веба классифицируется как Win32.HLLW.Motovilo.1, что скорее всего обозначает "тип", а 1 то же что и "а" у eset.
http://vms.drweb.com/virus/?i=2026401

но в местах которых он должен был наследить ничего нет, а системный диск чист(тьфу-тьфу)

GPcH
на virusradar только дата обнаружения вируса имеется - 30.08.13
вирус у вас или просто интересуетесь?

и чего ж я этот форум то раньше не нашел( сток раз винду сносил

arvidos
вирус на флешке, из-за него не получилось скопировать папку с исходниками с занятий.

Вижу никто не сталкивался
Загрузил на Виртотал, кому интересна статистика и показания других антивирусов
https://www.virustotal.com/ru/file/237c09920de37e9b26be057537f2b79683a3c5dc86e929b4a1f6e64d279a30c3/analysis/1379151968/

Может обращаюсь с глуппым вопросом, может это уже где-то обсуждалось. Прошу помочь или дать ссылку на обсуждение. Установила винду7, качала драйвера и утилиты, в итоге сейчас постоянно при простое компа вылетает банер, ссылка на какието стандартные парталы игр, рекламы и тд. (хоршо, что ни чего из эротики или похуже). В общем то выключить банер могу, но потом он снова появляется. помогите с этим справиться. Лечила комп авастом и касперским. Находили трояны, ставила анти-банер, все равно не помогло.

ChumchaM30
Сделайте лог uVS

ChumchaM30

Цитата:

в итоге сейчас постоянно при простое компа вылетает банер

А не является ли этот банер скринсейвером или задачей, выполняемой Планировщиком при простое ПК?

Устанавливал с флэхи знакомому на комп дистриб антивируса, флэха защищена протектором, создающим скрытую неудаляемую папку AUTORUN.INF. После этого мой каспер на этой флэхе обнаружил и удалил вирус kido в папке RECYCLER. Правда обнаружил его не сразу, а лишь после того, как произвёл полную проверку флэхи. Есть ли вероятность заразить комп из этой папки?

pomaH2734

Цитата:

каспер на этой флэхе обнаружил и удалил вирус kido в папке RECYCLER....Есть ли вероятность заразить комп из этой папки?

если autorun.inf не перезаписался, то врядли (имеется ввиду просто вставив флешку в комп).

без автозагрузки само по себе ничего не запустится же.

pomaH2734 13:15 20-09-2013
Цитата:

флэха защищена протектором, создающим скрытую неудаляемую папку AUTORUN.INF

эта папка по факту обычно очень легко перезаписывается

Добавлено:
так что сначала я бы проверил, что у вас там под именем autorun.inf сейчас
+ отключил бы автозапуск с флешек. А кидо вообще не опасен если стоят все обновы от мягких.

Это вообще надо к шапке прибить километровыми буквами, что изначально всегда везде и на всем надо отключать автозапуск, а уж потом втыкать...

Подцепил Trojan.Hosts.6815(DRWEB определил) не могу вылечить. DRWEB до него доходит и вылетает мертвый экран. подскажите как из него избавится

Ahaltek
Из шапки с помощью варианта 1 или 2.

У знакомых вот такое вылазит периодически


и



как убить, кто скажет?