[Farger]

Здравствуйте,
Сейчас посмотрю логи.

[Farger]

Драйвер Ipinain.sys проверьте на virustotal . Ссылку на результат включите в ваше следующее сообщение.

В тех. поддержку провайдера не обращались?

Запустите HiJackThis, проведите процедуру сканирования, после чего установите галочку на этой строке и нажмите кнопку Fix checked.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)

Когда-нибудь пользовались программой a-squared?

>> Заблокирован пункт меню Справка и техподдержка
Сами блокировали?

Ваше (что из этого):

IP address [?]: 193.232.248.2
IP country code: BY
IP address country: Belarus
IP address state: Minsk
IP address city: Minsk
IP address latitude: 53.9000
IP address longitude: 27.5667
ISP of this IP [?]: ROSNIIROS Russian Institute for Public Networks
Organization: ROSNIIROS Russian Institute for Public Networks

IP address [?]: 82.209.213.52
IP country code: BY
IP address country: Belarus
IP address state: Homyel'skaya Voblasts'
IP address city: Gomel
IP address latitude: 52.4417
IP address longitude: 30.9833
ISP of this IP [?]: Republican Association BELTELECOM
Organization: Republican Unitary Enterprise BELTELECOM


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Amshferm]

Драйвер Ipinain.sys не присутствует на компьютере. Поиск не находит.
В техподдержку провайдера обращался, но сложилось ощущение, что я знаю больше, чем работники техподдержки. Сказали - только переустановка оси.

Название программы a-squared не знакомое, видимо не пользовался.

Цитата Farger:

>> Заблокирован пункт меню Справка и техподдержка Сами блокировали? »

Нет. Сам не блокировал. Возможно, такая сборка Windows, в которой уже заблокированы данные сервисы.

Цитата Farger:

Ваше (что из этого): IP address : 193.232.248.2 IP country code: BY IP address country: Belarus IP address state: Minsk IP address city: Minsk IP address latitude: 53.9000 IP address longitude: 27.5667 ISP of this IP : ROSNIIROS Russian Institute for Public Networks Organization: ROSNIIROS Russian Institute for Public Networks IP address : 82.209.213.52 IP country code: BY IP address country: Belarus IP address state: Homyel'skaya Voblasts' IP address city: Gomel IP address latitude: 52.4417 IP address longitude: 30.9833 ISP of this IP : Republican Association BELTELECOM Organization: Republican Unitary Enterprise BELTELECOM »

Первое - это предпочитаемый DNS-сервер моего провайдера. Второе - альтернативный DNS-сервер. Данные настройки выставляются по образцу, приведённому в договоре.

Выполнил операции в MBAM и RSIT. Логи прикрепляю.

[Farger]

Пока сделаем так:

Удалите в MBAM (еще раз просканируйте систему, отметьте эти строки, нажмите Remove selected) :

Код:

Заражённые параметры в реестре:  
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.   
 Объекты реестра заражены:  
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Откройте "Мой компьютер" - Сервис - Свойства папки - Вид - "Показывать скрытые файлы и папки" и "Отображать содержимое системных папок" - Применить/Ок - перейдите в папку C:\WINDOWS\system32\drivers и найдите там файлы Ipinain.sys и mchInjDrv.sys Если нашли, загрузите их на virustotal.

[Amshferm]

Удалить всё не представилось возможным. Оставил редкие Crack-файлы к не менее редким программам, которые испокон веков маркировались, как различные трояны, но всё было в порядке. Удалил всё остальное, зараженное троянами и прочими вирусами. Сама программа MalwareBAM нашла вирусы с названием malware, что вызывает подозрения.

Обоих драйверов (Ipinain.sys и mchInjDrv.sys) нет на компьютере.

[Farger]

А я вам и не советовал удалять все, а только то, что отметил - все остальное - набор кряков и кейгенов (на ваше усмотрение, но учтите, что у них может содержатся вредоносный код).

Папка C:\!Погода вам известна?

Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.
Выполните скрипт в AVZ: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить"

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\vksaver.dll','');
QuarantineFile(' C:\WINDOWS\system32\drivers\Ipinain.sys ','');
QuarantineFile(' C:\WINDOWS\system32\drivers\mchInjDrv.sys ','');
DeleteFile(' C:\WINDOWS\system32\drivers\Ipinain.sys ');
DeleteService(' Ipinain');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

[Amshferm]

Просканировал заново. Нужные пункты выделил и удалил.

Папка C:\!Погода мне известна. Туда программой Teleport Pro сохраняется страничка с прогнозом погоды по городу. Скрипты выполнил.

Карантин отправил, ответа ждать придется долго.

[Farger]

Будем надеятся, что вскоре ответят. Что с проблемой?

[Amshferm]

Не исчезла пока.