[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Dimon\AppData\Roaming\Adobe\www.adobe.com.url','');
 DeleteFile('C:\Users\Dimon\AppData\Roaming\Adobe\www.adobe.com.url','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Flash Player SU');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

Сделайте лог HiJack

[:Dimon]

Сделал все в последовательности как вы написали. Не понял нужно ли было повторять повторную проверку RSIT и AVZ. Вообщем сделал повторно и прикрепил

[thyrex]

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru4.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Advanced SystemCare Browser Protection - {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} - C:\PROGRA~2\ADVANC~1\BROWER~1\ASCPLU~1.DLL (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{167264A1-E9A4-417D-96AD-E56792CB6A6E}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4A66074-99AF-4498-BE76-4EF38291AB33}: NameServer = 5.104.108.202
O17 - HKLM\System\CS1\Services\Tcpip\..\{167264A1-E9A4-417D-96AD-E56792CB6A6E}: NameServer = 5.104.108.202
O17 - HKLM\System\CS2\Services\Tcpip\..\{167264A1-E9A4-417D-96AD-E56792CB6A6E}: NameServer = 5.104.108.202

Сделайте новый лог

[:Dimon]

Скажите пожалуйста подробней для незнающих вроде меня), AVZ тоже нужно было сделать логи по новой или достаточно было просто HiJack. Прикрепил новые логи.
После етого фикса неодин сайт не грузился и ваш в том числе, после того как выложил вам ети логи, сделал востановление системы...

[regist]

Цитата :Dimon:

AVZ тоже нужно было сделать логи по новой »

да, нужно сделать свежие логи AVZ, только перед этим ещё раз обновите базы AVZ.

[thyrex]

+

Цитата :Dimon:

После етого фикса неодин сайт не грузился и ваш в том числе »

Ну так надо было прописать DNS-адреса, выданные провайдером. У Вас они были подменены вирусом

Цитата :Dimon:

сделал востановление системы... »

И проблема вернулась?

[:Dimon]

Спасибо вам огромное.
После фикса в HiJack вся реклама пропала, на сайты антивирусов пускает, интернет перестал тупить.
Не знаю нужны ли логи но я уже сделал так что прикрепил)
Хотелось бы в двух словах узнать что это был вообще за вирус и как можно предотвратить в дальнейшем такие ситуации и как я понял нод который у меня всегда включен и постоянно обновляется не смог защитить.
Еще раз спасибо за помощь и внимание))

[thyrex]

От подмены DNS не спасет ни один антивирус

[Sandor]

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.