Порно баннер+win32.kido.ih+трояны (((((

E-mpty · Отправлено: **10:57, 21-12-2009** | #31

Цитата Nightslim:

Может решить проблему Format C: ? »

Не, не надо

Запустите AVZ, меню - файл - выполнить скрипт:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('c:\windows\system32\nwprovau.dll');
DelCLSID('02d26d59-bd87-11dd-95ae-00112f8aaa12');
DelCLSID('47aa3bec-34e5-11de-967a-00112fa63572');
DelCLSID('bc269594-5ad9-11dd-9493-00112f8aaa12');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Полечите систему по этой инструкции.

Повторите лог RSIT

Nightslim · Отправлено: **11:50, 21-12-2009** | #32

Скрипт выполнил.

Новый лог от RSIT:

Nightslim · Отправлено: **11:56, 21-12-2009** | #33

Никаких изменений после выполнения скрипта

(

E-mpty · Отправлено: **15:18, 21-12-2009** | #34

Попробуем такой вариант:

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
:Services

:Files
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
  00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Запустите HijackThis, поставте галочку напротив :

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)

нажмите FixChecked

Скачайте и установите SUPERANTISPYWARE, запустите пусть просканирует систему, отпишитесь о результате проверки.

З.Ы. KidoKiller запускали или нет?

Nightslim · Отправлено: **15:22, 21-12-2009** | #35

Да, КК запускал несколько раз. В разных режимах. Ничего вредоносного не находит. Заплатки поставил.

Nightslim · Отправлено: **15:57, 21-12-2009** | #36

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\"Authentication Packages"|hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,00 /E : value set successfully!
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47aa3bec-34e5-11de-967a-00112fa63572}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Андрей
->Temp folder emptied: 112195314 bytes
->Temporary Internet Files folder emptied: 5039707 bytes
->Opera cache emptied: 5613465 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133863 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
Windows Temp folder emptied: 2947624 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23931996 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 2372722981 bytes

Total Files Cleaned = 2*408,00 mb

OTM by OldTimer - Version 3.1.3.0 log created on 12222009_153325

В HijackThis такой строчки нету.

Nightslim · Отправлено: **17:46, 21-12-2009** | #37

SUPERANTISPYWARE нашел три вредоносных программы:

1) Adware. Tracking Cookie
2) Trojan. Agent/ Gen-Data Keeper (C: Documents and Settings\Андрей\DOCTORWEB\QUARANTINE\AONDPFQR.dll
3) Trojan. Agent/ Gen-Nulo {Short} (D:System Volume Information\_Restore{BD7490AA-85B3-49D0-A699-9EDBCA021330}\RP80\A0025080.EXE

sanek_freeman · Отправлено: **18:03, 21-12-2009** | #38

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

•Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Nightslim · Отправлено: **18:48, 21-12-2009** | #39

sanek_freeman, данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз???

sanek_freeman · Отправлено: **20:26, 21-12-2009** | #40

Цитата Nightslim:

данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз??? »

Я знаю, что они делались неоднократно. Но ведь и после логов были предприняты действия. В общем, делайте в такой последовательности: Предварительные действия -> МВАМ -> ComboFix ->RSIT. И выкладывайте логи.