Странная проблема с вирусом не нашедшая решения

[Finist0]

Здравствуйте

Хочу поделится своим случаем после удаления одного из информеров, может кто встречался с подобной ситуацией. После чистки секции winlogon, вирусных файлов из system 32, кеша explover - все вроде бы чисто, подключение к интернету присутствует. Смотрим через команду ipconfig /all - видем что в системе появился некий тунельнный адаптер, которого до этого не было. IP и другие характеристики у него странные. Проверяем загрузку драйверов из system 32 - все чисто, все возможные способы автозагрузки - проверены - ничего лишнего. Не поленилась заглянуть в загрузку хостов - может там что - файл стандартный, изменений нет.
До информера данного устройства в системе по команде ipconfig не было - проверенно.

C данным случаем сталкивалась два разика - в первом случае - месяца четыре назад - пришлось удалить windows, при переустановке проверила еще раз ipconfig - устройства не показывает, что говорит о том, что со мной все в порядке, факт действительно имеет место быть. Второй раз возникло сейчас - до информера не дошло, вирус был удален антивирусом в процессе загрузки но данное устройство появилось. В обоих случаях речь идет о совершенно разных компьютерах, в разных сетях. Проверка на вирусы что с загрузкой ОС, что без оной - ничего не показывает. Хотелось бы, по возможности, получить какой-нибудь совет по этому поводу, может кто сталкивался с такой ситуацией.

Да кстати, наличие данного виртуального устройства не дает подключится к интернету при подключении роутера, без него - работает. И дело тут не в настройках роутера. Сам роутер интернет дает с другого незараженного ПК.

[w0r0n]

А можно посмотреть на скриншоты?

[Finist0]

Цитата: Сообщение от w0r0n А можно посмотреть на скриншоты?

Сделаю, но только в течение нескольких дней - ПК в другом месте находится, чем я сейчас.

[Sergey_TSW]

Цитата: Сообщение от Finist0 Проверяем загрузку драйверов из system 32 - все чисто, все возможные способы автозагрузки - проверены - ничего лишнего.

ИМХО: ну не может устройство появляться ниоткуда, возможна подмена драйвера - надо искать...
с помощью AVZ пробовали?

[Finist0]

Цитата: Сообщение от Sergey_TSW ИМХО: ну не может устройство появляться ниоткуда, возможна подмена драйвера - надо искать... с помощью AVZ пробовали?

AVZ - молчит как рыба, NOD - аналогично. Ясно что он где-то есть...
Если такой автозагрузчик как OSAM - известен, то им проверила все полностью. Все темпы тоже проверенны. Вот интересно было бы узнать откуда считывается информация по команде ipconfig.
Поисковик на имя туннельного адаптера никакой информации не выдал, хоть какие-нибудь сведения о подобной ситуации найти не смогла, но тут дело такое - раз на раз не приходится. На выходных отпишу подробнее что да как - скриншот или текстом сделаю - все что выводится по нему. Еще бы суть понять этой штуки - исходя из названия - соединяется она с кем то или чем-то. Если бы не роутеры, которые отказались работать после его загрузки - и не догадаться что что-то есть в системе, ipconfig каждый день не запускашь. В обоих случаях заражения - значения для адаптера были одинаковыми (ну или почти одинаковыми). Еще знаю, что под пользовательскими правами - информер появляется, а устройство не устанавливается.

[w0r0n]

ipconfig читает настройки из раздела реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Network\
именно там хранится информация о сетевых подключениях и даже о тех которые уже не актуальны и не отображаются в папке "Сетевые подключения"

[Finist0]

По команде ipconfig/all выдает следующие характеристики устройства:

Описание носителя: : Teredo Tunneling Pseudo-interface
Физический адрес : 02-00-54-55-4E-01
DНСР включен : нет
Автонастройка включена : Да

Собственно все стандартное, выводит данные как для любого другого адаптера в системе под Vistа, в XP данные IP и DNS, приводимые для установленного сетевого адаптера, для этого устройства не отображались. Вот собственнно все что пока известно по поводу данного момента. Можно, конечно, сделать логи с помощью АVZ и выслать в лаботаторию Касперского, но что-то не очень хочется...

[w0r0n]

Teredo — сетевой протокол, предназначенный для передачи IPv6 пакетов через сети IPv4
но видимо глючная штука - у многих с этим проблемы
чтобы удалить его нужно
1) запустить коммандную строку
2) выполнить в ней комманду ipv6 uninstall

Добавлено через 2 минуты
только убедитесь что вашему провайдеру не нужен этот протокол иначе интернет вообще может не работать

Добавлено через 4 минуты
после удаления Teredo проверьте ipconfig/all
перезагрузитесь и опять проверьте ipconfig/all

[Finist0]

Да, верно, сама посмотрела минут за пять, как прочла Ваше сообщение и увидела довольно много информации по этому поводу. Как искала в прошлый раз - непонятно, возможно ошиблась в названии.

Вот нашла его применение:

"Основной угрозой является то, что в настоящий момент не существует межсетевых экранов, способных фильтровать Teredo трафик, что может сделать возможным несанкционированное проникновение в IPv6 сеть."

Данный протокол провайдером не используется, в системе до вируса - не был, так что его инициализация - это его проделки. Спасибо за внимание к моему вопросу, отпишу о результатах.

[doktorzlo]

Цитата: Сообщение от Finist0 Хотелось бы, по возможности, получить какой-нибудь совет по этому поводу

- работать в интернете из-под юзера с ограниченными правами;
- не использовать IE или Firefox;
- использовать javascript и плагины только для проверенных сайтов.
В противном случае будет и третий разик =)