Не открываются страницы вконтакте и мейл.ру,при попытке их открытия появляется сообщение Внимание!"рекламная пауза" и рекламный баннер,дальше инструкции,но толку от их выполнения нет,все повторяется.Я сделала все,что указано в разделе "лечение систем от вредноносных программ",но проблема осталась-теперь нет ни рекламы,ни указаний,просто пустая страница!

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll', '');
DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После этого появится файл quarantine.zip. Его выслать на koshkin@rbcmail.ru
Сайт 24w.ru сами ставили на стартовую?
Если нет, то пофиксите в HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.24w.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.24w.ru/search.php?q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.24w.ru/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.24w.ru/search.php?q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.24w.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.24w.ru/search.php?q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.24w.ru/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.24w.ru/search.php?q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.24w.ru

Нужны ли Вам эти ссылки:

O9 - Extra button: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing)
O9 - Extra 'Tools' menuitem: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing)
O9 - Extra button: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing)
O9 - Extra 'Tools' menuitem: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing)

Нет? Пофиксите тогда.

acid_vision, Здавствуйте. Добавлю к предыдущему посту.
У вас 2 антивируса, ESET NOD32 и по логам ещё DrWeb, оставьте один.
см. Антивирусы - Как правильно удалить Антивирус(Ы) из системы (http://forum.oszone.net/thread-116398.html)
Чистка системы после некорректного удаления антивируса (http://virusnet.info/forum/showthread.php?t=58)

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы:
C:\WINDOWS\system32\ckldrv.sys
C:\Program Files\Power Manager\PM.exe
C:\WINDOWS\Downloaded Program Files\cortona_installer.dll
C:\WINDOWS\Downloaded Program Files\pecontrol.dll
Результаты проверки выложите в сообщение или дайте на них ссылку.

Запустите HiJackThis (http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O8 - Extra context menu item: &Search -
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

Сделайте новые логи.

Ссылки на результаты проверки файлов на http://www.virustotal.com/:

1.http://www.virustotal.com/ru/analisis/8ee29fecaf6aef84bc95b988c738615b
2.http://www.virustotal.com/ru/analisis/d7bd271e6163b85f3246ee64e64960b6
3.http://www.virustotal.com/ru/analisis/02f1be40aa4370559492054d53311e3a
4.http://www.virustotal.com/ru/analisis/be82dfe1cccd97c3d246bd4264c124a5

acid_vision, SiteAccess.dll - http://www.virustotal.com/ru/analisis/4401d8d6653b1b1a13a23af91c89c3e6
Плагин какой-то вирусный. Его уже у Вас нет.
Так у Вас vkontakte.ru заработал?

Котяра, нет,не заработал к сожалению...=((и мейл.ру тоже

Найдите файл C:\WINDOWS\system32\drivers\etc\hosts Жмите правой кнопкой на него > Открыть с помощью, выбираете блокнот и заменяете весь текст на

127.0.0.1 localhost


Для общего развития:

В этом файле URL'у можно сопоставить любой IP-адрес. У вас сейчас там миллиону сайтов указан ваш внутренний IP-адрес. Т.е. когда вы набираете www.vkontakte.ru, mail.ru, icq.com или любой из тех, что указаны у вас в этом файле, браузер заходит не на сервер в интернете, а пытается найти его на 127.0.0.1 т.е. у вас на компе. Раньше когда у вас был вирус он запускал мини сервер, заходя на сайт вы перенаправлялись на него. Вирус удалили, а следы остались.

Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

add: не заметил, извиняюсь

CaminoDeFlores, hosts уже очищался в скрипте командой ClearHostsFile

acid_vision, Выполните в AVZ скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\pecontrol.dll','');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb (http://vms.drweb.com/sendvirus/)
AVPTool можете удалить
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM (http://malwarebytes.gt500.org/mbam-rules.exe)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Cкачайте полиморфный AVZ, переименованный в game.pif здесь (http://ifolder.ru/12095547), сохраните в отдельную папку и запустите. Обновлять антивирусные базы для этой версии не требуется.
Сделайте новые логи полиморфным AVZ (http://ifolder.ru/12095547) virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и лог hijackthis

Pili

Malwarebytes' Anti-Malware 1.36
Версия базы данных: 2162
Windows 5.1.2600 Service Pack 3

21.05.2009 17:31:16
mbam-log-2009-05-21 (17-31-16).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 166101
Прошло времени: 1 hour(s), 8 minute(s), 55 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 7
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 6

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP637\A0161225.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161335.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161343.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161442.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161498.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\uti3otqy.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

acid_vision, ждем остальные логи.

логи

acid_vision, по логам есть следы Dr.Web и AntiVir. У Вас оба стоят?

Котяра,я удалила Dr.Web и Eset Nod32 и установила AntiVir...но Dr.Web наверно как-то не так,раз он еще где-то фигурирует????

Pili


Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb

ответ:Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

Котяра,я удалила Dr.Web и Eset Nod32 и установила AntiVir...но Dr.Web наверно как-то не так,раз он еще где-то фигурирует???? »
Для удаления Dr.web воспользуйтесь утилитой

akok,спасибо!!

Давайте еще посмотрим:
Скачайте DDS (http://download.bleepingcomputer.com/sUBs/dds.scr) или с зеркала (http://virusnet.info/soft/dds.scr) и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, запакуйте файлы из файлов DDS.txt и Attach.txt и вложите в сообщение.

Скачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его.

Очень похоже что блокируется запись в реестре и изменение hosts файла. Вы защитное ПО отключали на время выполнения скрипта?
У вас Avira и DrWeb активны, есть ещё Spybot - Search & Destroy (и в нем teatimer - отключите временно), в Avira в настройках не установлена защита hosts файла? Если да -отключите.
Нажмите пуск - выполнить - скопируйте в строчку
attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts
и нажмите enter
Файл c:\windows\RiiQ.exe проверьте на virustotal.com и дайте ссылку на результат проверки.
Отключите защитное ПО и выполните скрипт в AVZ
begin
ExecuteRepair(13);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
end.
Отключите автозапуск (http://forum.oszone.net/showpost.php?p=825101)
Распакуйте файл AutorunDisabled.zip (http://forum.oszone.net/attachment.php?attachmentid=22467&d=1235631741) и примените reg файл

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

Folder::
c:\program files\SiteAccess

FileLook::
c:\windows\RiiQ.exe


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

http://virusnet.info/images/CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

В AVZ включите AVZM (см. правила) и сделайте новый лог virusinfo_syscheck.zip

Нажмите пуск - выполнить - скопируйте в строчку
Код:
attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts »

не поняла куда это копировать???

c:\windows\RiiQ.exe я попыталась проверить этот файл,но в этот же момент антивирус выдал,что это файл может нанести вред,я его отправила в карантин,попробовла еще раз проверить на virustotal.com,но там какая-то ошибка,а сейчас файла вообще нет в папке windows...

не поняла куда это копировать??? »
Нажмите кнопку Пуск - выберите пункт Выполнить - вставьте указанную Вам строку
attrib -r -s -h C:\WINDOWS\system32\drivers\etc\hosts

c:\windows\RiiQ.exe я попыталась проверить этот файл,но в этот же момент антивирус выдал,что это файл может нанести вред,я его отправила в карантин,попробовла еще раз проверить на virustotal.com,но там какая-то ошибка,а сейчас файла вообще нет в папке windows... »
Поищите в карантине антивируса. Кстати как он назвал файл?

не поняла куда это копировать??? »
(система на методику не влияет)
http://pic.ipicture.ru/uploads/090521/36563/OJDTuGCSU3.jpg

http://pic.ipicture.ru/uploads/090521/36563/e4VZbwl1D2.jpg
Вот как-то так :)