Отключены все службы файервола.

Доброго времени суток.
Возникла небольшая проблема: Комп стоял без дела около часа, когда подошёл обнаружил что все службы Сomodo отключены. Ручное их включение невозможно. Как выход из положения файерволл посоветовал переустановить себя. Это тоже не помогло…Далее обнаружил что полностью отсутствует доступ в интернет. Пробовал отключать файер, антивирус (Avast), брэндмауэр винды…не помогает. Проверил настройки подключения - всё в норме (у другого компа, от которого сейчас и пишу, с инетом всё в порядке).
Последние операции перед возникновением данной проблемы: запись болванки, проверка авастом всей системы, запуск удаления вредоностных программ винды. Ничего из запущенного не выдало никаких подозрительных иль заражённых файлов.
В чём может крыться проблема неподскажите? и от чего могут внезапно отключаться все службы Comodo?

Первое,что приходит в голову- к комодо применили эксплойт и запустили руткит. Но я еще тот параноик,поэтому просканьте систему cureit в безопасном режиме. А еще лучше используйте AVZ.exe для лечения.

Утилита от др. Веба нашла:
в папке system32 в файле ip6fw.sys Trojan.NTRootKit.319
в файле С:windows/Temp/startdrv.exe BackDoor.Bulknet.57
и выдала сообщение об их удалении, но в последствии файл с трояном был обнаружен AVZ.

Вот что мне выдал AVZ и HijackThis:
http://slil.ru/24770078

Неподскажите как избавится от трояна?

Пиар-отдел Comodo сообщает: юзайте Comodo Memory Guardian чтобы защититься от эксплоитов, и cureit непонадобится :■■■■

1 Загрузитесь в безопасном режиме
2 Отключите востановление системы(мой компьютер-свойство-востановление системы -поставьте галку на “отключить востановление системы на всех дисках”.)
3 Запустите АВЗ, в верхнем меню файл-выполнить скрипт и скопируйте в окошко этот скрипт:


begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\drivers\svchost.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\Documents and Settings\Home PC\svchost.exe','');
 QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
 QuarantineFile('\??\C:\WINDOWS\System32\drivers\runtime.sys','');
 QuarantineFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys','');
 QuarantineFile('\SystemRoot\System32\drivers\hl_mull.SYS','');
 QuarantineFile('\SystemRoot\System32\Drivers\a98z62jd.SYS','');
 BC_DeleteFile('c:\windows\system32\drivers\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
 BC_DeleteFile('\SystemRoot\system32\DRIVERS\Ip6Fw.sys');
 BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
 BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
 BC_DeleteFile('C:\Documents and Settings\Home PC\svchost.exe');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится
Запустите hijackThis
Открываем HijackThis, нажимаем кнопку “Do a system scan only” и отмечаем галочкой следующее:
O4 - HKCU..\Run: [autoload] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU..\Run: [autorun] C:\Documents and Settings\Home PC\svchost.exe
Затем на кнопку “Fix Checked” (браузер при этом нужно закрыть).

Еще раз перезагрузиться и снять повторно логи, пришлите ссылку на них мне в личку.
Я Вас еще попрошу не удалять папку карантина АВЗ, если можно заархивируйте ее под пароль и приложите вместе с логами
И еще-срочно смените браузер на Оперу или фаерфокс,а IE не надо пользовать а надо заблокировать в фаере. Надо-бы еще пофиксить в hijackThis некоторые BHO, но пока не будем, надеюсь Вы смените браузер… Жду логов.

Всё получилось, скрипт сработал. Большое спасибо!
Карантиновские файлы и логи отправил в личку.

Заразу почти прибили,но не всю.
1 На virustotal.com проверьте эти файлы:
C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
SystemRoot\System32\Drivers\atmjntgs.SYS
SystemRoot\System32\Drivers\dump_nvatabus.sys
C:\WINDOWS\system32\drivers\CDAC11BA.EXE

Загрузитесь в безопасном режиме и выполните скрипт:


begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\svchost.exe');
 BC_DeleteFile('\SystemRoot\system32\ksys.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

и следом еще один после перезагрузки


begin
  ExecuteRepair(6);
  ExecuteRepair(8);
  ExecuteRepair(9);
  ExecuteRepair(13);
  end. 

Опять заходим в безопасном режиме и фиксим в HijackThis это:

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: IE 4.x-6.x BHO for Download Master - {9961627E-4059-41B4-8E0E-A7D6B3854ADF} - C:\PROGRA~1\DOWNLO~1\dmiehlp.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: DM Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - C:\Program Files\Download Master\dmbar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file

missing)
O4 - HKCU..\Run: [autoload] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU..\Run: [autorun] C:\Documents and Settings\Home PC\svchost.exe


Не перегружая систему(находимся в безопасном режиме) открываем АВЗ:
1AVZGuard-включитьAVZGuard
2сервис-менеджер автозапуска,проидитесь по файлам черного цвета(все удалить) Нужно выделить файл и вверху нажать крестик
3 не выключая АВЗ,перезагрузиться

С помощью Startup Manager (Startup Control Panel). (Выберите Standalone EXE version (34КБ).Установка не требуется. Там можно галочки снять и при следующем запуске Windows программы уже не будет…) снимите все галочки кроме ctfmon.exe и перезагрузитесь. После перезагрузки, если на virustotal.com не найдены вирусы, повторите логи, затем поставьте галки только на антивирус и фаервол. Мне в личку новые логи пришлите.

Забыл сказать-очистите вручную все папки темп и темпорари…

Спасибо пиар-отделу! Побежал на склад выдачи продуктов Comodo за Memory Guardian… Обязательно буду пробовать!

С трудом но скрипты всё же выполнены)) Логи выложил в личку.

Действительно стоящая вещь? тем более доступна ведь только бетта версия?..
На оф сайте комодо что то не нашёл информацию…может я не там искал?

Да, это верно - на складе продуктов Comodo его нет и не выдают… Почему-то…
Погуглил - даю первую ссылку (с которой я сам скачал), а там их было много:
http://www.softpedia.com/progDownload/Comodo-Memory-Guardian-Beta-Download-82058.html

Приветствия!
После всего этот факт, я рекомендую “Full Scan”:

Scan Online Emsi Software (IE только):

Отношения,
Allan.

Я уже несколько месяцев ничего не менял в основном коде, только в последней бете 1.0.1.5 исправил интересный баг на висте (когда сами MS хукали у себя в IE некоторые ф-ии) да и то, это виста, и баг в принципе на функциональность никак не влиял… Так что качайте смело бету и ждите улучшений интерфейса (не особо он юзабельный получился :slight_smile: я системный программист все-таки а не дизайнер)

Врядли это была последняя бета, лучше скачайте поновей на нашем форуме

Где именно, подскажите пожалуйста.

https://forums.comodo.com/comodo_memory_guardian_beta_corner/comodo_memory_guardian_beta_v1015_download_here-t11946.0.html