[Котяра]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ClearHostsFile;
 QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll', '');
 DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
 BC_ImportDeletedList;
 ExecuteSysClean;     
 BC_Activate;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
end.

После этого появится файл quarantine.zip. Его выслать на koshkin@rbcmail.ru
Сайт 24w.ru сами ставили на стартовую?
Если нет, то пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.24w.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.24w.ru/search.php?q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.24w.ru/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.24w.ru/search.php?q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.24w.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.24w.ru/search.php?q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.24w.ru/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.24w.ru/search.php?q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.24w.ru

Нужны ли Вам эти ссылки:

Код:

O9 - Extra button: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing)
O9 - Extra 'Tools' menuitem: Начни день с 24w.ru - {10954C80-4F0F-11d3-B17C-00C0DFE39737} - http://www.24w.ru (file missing)
O9 - Extra button: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing)
O9 - Extra 'Tools' menuitem: Самое уманое в сети! - {10954C80-4F0F-11d3-B17C-00C0DFE39738} - http://www.umatno.ru (file missing)

Нет? Пофиксите тогда.

[Pili]

acid_vision, Здавствуйте. Добавлю к предыдущему посту.
У вас 2 антивируса, ESET NOD32 и по логам ещё DrWeb, оставьте один.
см. Антивирусы - Как правильно удалить Антивирус(Ы) из системы
Чистка системы после некорректного удаления антивируса

Найдите с помощью AVZ – сервис – поиск файлов на диске или с помощью файлового менеджера, например FAR (если через проводник – включите показ скрытых файлов) и проверьте на http://www.virustotal.com/ или http://virscan.org/ файлы:

Код:

C:\WINDOWS\system32\ckldrv.sys
C:\Program Files\Power Manager\PM.exe
C:\WINDOWS\Downloaded Program Files\cortona_installer.dll
C:\WINDOWS\Downloaded Program Files\pecontrol.dll

Результаты проверки выложите в сообщение или дайте на них ссылку.

Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O8 - Extra context menu item: &Search -  
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1131-1111-1111-611111193428} -

Сделайте новые логи.

[acid_vision]

Ссылки на результаты проверки файлов на http://www.virustotal.com/:

1.http://www.virustotal.com/ru/analisi...95b988c738615b
2.http://www.virustotal.com/ru/analisi...46ee64e64960b6
3.http://www.virustotal.com/ru/analisi...92054d53311e3a
4.http://www.virustotal.com/ru/analisi...46bd4264c124a5

[Котяра]

acid_vision, SiteAccess.dll - http://www.virustotal.com/ru/analisi...a23af91c89c3e6
Плагин какой-то вирусный. Его уже у Вас нет.
Так у Вас vkontakte.ru заработал?

[acid_vision]

Котяра, нет,не заработал к сожалению...=((и мейл.ру тоже

[CaminoDeFlores]

Найдите файл C:\WINDOWS\system32\drivers\etc\hosts Жмите правой кнопкой на него > Открыть с помощью, выбираете блокнот и заменяете весь текст на

Код:

127.0.0.1       localhost

Для общего развития:

В этом файле URL'у можно сопоставить любой IP-адрес. У вас сейчас там миллиону сайтов указан ваш внутренний IP-адрес. Т.е. когда вы набираете www.vkontakte.ru, mail.ru, icq.com или любой из тех, что указаны у вас в этом файле, браузер заходит не на сервер в интернете, а пытается найти его на 127.0.0.1 т.е. у вас на компе. Раньше когда у вас был вирус он запускал мини сервер, заходя на сайт вы перенаправлялись на него. Вирус удалили, а следы остались.

Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.

add: не заметил, извиняюсь

[Pili]

CaminoDeFlores, hosts уже очищался в скрипте командой ClearHostsFile

acid_vision, Выполните в AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsFile;
 QuarantineFile('C:\WINDOWS\system32\ckldrv.sys','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\pecontrol.dll','');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите, можете отправить также в вирлаб DrWeb
AVPTool можете удалить
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Cкачайте полиморфный AVZ, переименованный в game.pif здесь, сохраните в отдельную папку и запустите. Обновлять антивирусные базы для этой версии не требуется.
Сделайте новые логи полиморфным AVZ virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и лог hijackthis

[acid_vision]

Pili

Malwarebytes' Anti-Malware 1.36
Версия базы данных: 2162
Windows 5.1.2600 Service Pack 3

21.05.2009 17:31:16
mbam-log-2009-05-21 (17-31-16).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 166101
Прошло времени: 1 hour(s), 8 minute(s), 55 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 7
Заражено значений реестра: 0
Заражено параметров реестра: 3
Заражено папок: 0
Заражено файлов: 6

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\uti3otqy (Rootkit.Bagle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP637\A0161225.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161335.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP638\A0161343.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161442.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0ED7151D-5466-4ACC-B779-EF1E25502BDC}\RP639\A0161498.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\uti3otqy.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

[Pili]

acid_vision, ждем остальные логи.