Знакомая пригласила почистить компьютер. У неё был нортон, который месяца 2 как истёк (сразу его удалил). Предпринятые шаги:
1) Проверил МБАМом полное сканирование, вирусы найдены, удалены.
2) Установил ДрВеб 6.0, сделал полное сканирование, найдены ещё вирусы, удалены (некоторые файлы из списка не удалялись).
3) Заметил, что не могу попасть ни на один сайт антивирусов, в том числе на вирустотал и вируси..о.
4) Скачал АВП Тул, сделал полный скан в безопасном режиме (в небезопасном АВП Тул инсталировался с ошибками "бла-бла... файл не может быть загружен"). Найдены вирусы, некоторые удалены, некоторые файлы не могли быть удалены. Проблема с блокированием антивирусных сайтов осталась.
5) Скачал AVZ, базы данных обновиться не смогли. Обновить смог только через прокси (через прокси кстати всё норм и с браузером, заходит на АВ сайты).
6) Сделал логи AVZ и Hijackthis.

Добрый день ..!

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\mxmfvltm.dll','');
DeleteFile('c:\windows\system32\mxmfvltm.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы (http://www.oszone.net/virusnet/)

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show allИз всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Добрый день))
1) Выполнил ваш первый скрипт. Сразу после перезагрузки компа блокировка к антивирусным сайтам была снята. Заходит без проблем.
2) quarantine.zip отправил через форму.
3) Во время экспресс проверки GMER, как и предупреждали, вылетело окно с сообщением о рутките.
4) Далее всё выполнил как вы рекомендовали - проверка системного диска (с обнаружением руткита), сохранение GMER лога, запуск 2-го стандартного скрипта. Логи ниже.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится uhybw5co.exe случайное имя утилиты (gmer)

uhybw5co.exe -del service vdrv1000
uhybw5co.exe -del file "ImagePath system32\DRIVERS\vdrv1000.sys "
uhybw5co.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\vdrv1000"
uhybw5co.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\vdrv1000"
uhybw5co.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Создал cleanup.bat и запустил его. Пакетный файл заработал, а потом вышла ошибка ".... не может найти файл ImagePath system32\DRIVERS\vdrv1000.sys". После нажатия ОК вылезла следующая таблица "Параметр задан неверно". ОК, компьютер перезагрузился.
Просканил с помощью gmer, лог ниже.

Ничего подозрительного в логах не найдено...!

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

2-й стандартный скрипт

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\PRMT8\XMLTUNING\Pre.exe','');
QuarantineFile('c:\docume~1\e448~1\locals~1\temp\uwwyifod.sys','');
DeleteFile('c:\docume~1\e448~1\locals~1\temp\uwwyifod.sys');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через этой формы (http://www.oszone.net/virusnet/)

Что с проблемами?

Добрый день)
Выполнил скрипт.
Карантинный скрипт тоже, файл отправил через форму.

Проблемы, как пропали после выполнения самого первого скрипта в этой теме, так и не появлялись снова (см. сообщение номер 3).

Смените все пароли

Выполните скрипт в AVZ
begin
RegKeyStrParamWrite('HKLM','system\currentcontrolset\control\securityproviders','SecurityProviders', 'msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll');
RebootWindows(true);
end. Компьютер перезагрузится.