Добрый день!

Где-то с пол-года назад поймал интересного "зверя" - запускаешь любой браузер, тут же затеняется вкладка и выдается всплывающее окошко - то на одноклассниках, то на вк у меня сообщения (хотя меня ни там, ни там нет), то имитирует бурную деятельность по обнаружению вирусов - жить не мешает, но достал, гад, уже. Искал его по-всякому как умею - никаких следов. Кто знает что это? Помогите, плиз! =)

P.S. Ни Avast Internet Sec, ни CureIt так и не смог его обнаружить за всё это время

Подготовьте логи по правилам (http://forum.oszone.net/thread-98169.html)

Подготовил логи по правилам, предварительно убив ещё одного вымогателя, везет мне на них... =)

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\витек\AppData\Local\Temp\1jfuweif.exe','');
QuarantineFile('C:\Users\витек\0.8464569611692296.exe','');
DeleteFile('C:\Users\витек\0.8464569611692296.exe');
DeleteFile('C:\Users\витек\AppData\Local\Temp\1jfuweif.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1jfuweif.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKCU\..\Run: [1jfuweif.exe] C:\Users\витек\AppData\Local\Temp\1jfuweif.exe


Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Затем, выполните сканирование (http://safezone.cc/forum/showthread.php?t=17023). Лог приложите

Огромное спасибо за поддержку!

Выполнил рекомендации, прикладываю файлы.

МВАМ нашел папку winxrar в папке %user%\AppData\Roaming\, но не обнаружил в соседней папке winxzip ничего - её я удалил самостоятельно.

Что сейчас с проблемой?

Что сейчас с проблемой? »

ИМХО, проблема устранена, дальше будем посмотреть.

PS Меня интересует такая вещь - неужели нет способа ограничить запуск полноэкранных приложений во время старта Windows?

Как говорится: Если преступник смог выполнить вредоносный код на Вашем компьютере - то это уже не Ваш компьютер.

Задача: снизить на сколько возможно вероятность этого выполнения, ознакомьтесь с этими рекомендациями (http://forum.oszone.net/post-1838507-9.html) .

Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=17023).