С компьютерами на Вы поэтому не знаю что делать. ПОМОГИТЕ ПОЖАЛУЙСТА?!?!?! У меня два компьютера, на первом операционная система win xp sp3 (модифицировал с помощью этого сайта поэтому все функции дополнительного доступа типа удаленный рабочий стол и др. были убиты при установке твиками) на втором win7 ultimate. К логам добавил в имени xp и w7 соответственно с первого и второго компьютера.

I. На компьютере с winXP антивирусы работают и запускаются ни ничего не находят. Включил востановление системы на 1 месяц (до заражения) не помогло.В браузерах файлы спокойно скачиваются но не работают активные элементы вроде посылки сообщений в одноклассниках, и просмотр фотографий в контакте.... При завершении работы не хотят отключатся некоторые процессы, вылетает окошки с принудительным завершением:
Первое explorer.exe (вылетает 2 раза).
Второе connection trey (Интернет отключен).
Третье (в названии только часть) MSI confi.

II. На компьютере с win7 отключился антивирус и слетела лицензия, принес от друга Dr. web cureit, он запустился в безопасном режиме windows но ничего не нашел кроме модифицированного файла hosts, которому не нужные строки удалил.
Добавленые строки (Взял из карантина dr. web) -
"127.0.0.1 gosredirector.ea.com
127.0.0.1 blazeserver.blazeemu.org
127.0.0.1 gosgvaprod-qos01.ea.com
127.0.0.1 gosiadprod-qos01.ea.com
127.0.0.1 gossjcprod-qos01.ea.com
127.0.0.1 demangler.ea.com
127.0.0.1 vmp.tools.gos.ea.com"
После перезапуска компьютера антивирус (Microsoft Security Esentials) включился, но и он ничего не находит. В браузерах не дает скачивать файлы Но через orbit software пожалуйста (наверное не затронут). На всех сайтах не работает активные элементы вроде посылки сообщений в одноклассниках, и просмотр фотографий например в контакте...

Здравствуйте,

Как правило практикуют, во избежания путаницы - одна тема - один компьютер. По порядку: я сейчас проверю логи с вашего ПК с XP на борту :)

Для ПК с XP:

Что у вас в папке C:\Program Files\gidGORODA?

Диск I:/ это что у вас?

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2001', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

Содержимое папки gidGORODA в скриншоте, это электронная карта и справочник с адресами и телефонами магазинов, автосервисов. у них даже одноименный сайт есть с приставкой .ru .
DISK I:/ - это DVDROM . Установочный диск(их бесплатно по конторам разносят, взял с работы) GidGORODA(6 mb) наверно единственный диск который там побывал.

Сделал все по инструкции, лог от "SecurityCheck by screen317" не появляется.

Активные элементы в браузерах работают, компьютер выключается нормально.

Ок, значит с первым компьютером мы разобрались, я правильно понимаю?

СПАСИБО БОЛЬШОЕ!!! Правда так и не понял что за файл подцепил, главное откуда, и что он натворил в системе... Теперь будем обратно пытаться защиту выставлять.
Второй компьютер сейчас на Kaspersky-911 , нашли с логов какой-то файл mbr.sys удалил его с помощью предоставленного ими скрипта. Лагов в данный момент не вижу,

= Farger СПАСИБО БОЛЬШОЕ ПРЕБОЛЬШОЕ = :up



P. S. А можно вопрос??? Можно ли узнать украли ли у меня какие пароли или нет???

Пожалуйста :) У вас вируса как такого и не было. С помощью скрипта мы закрыли дыры в безопасности. Относительно паролей - проверьте, можете ли зайти на почту свою, страницы в соц. сетях но предпосылок для существования вируса, который бы воровал у вас пароли я в логах не увидел.