[Farger]

Здравствуйте,

Сейчас посмотрю логи. Уберите с вашего сообщения карантин от AVZ - virusinfo_cure.zip

[Farger]

1.Удалите Ask.com через Панель управления – Установка/Удаление программ.
2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\thumbs.db','');
 QuarantineFile('C:\WINDOWS\activate.exe','');
 QuarantineFile('-.exe','');
DeleteFile('-.exe');
DeleteFile('C:\WINDOWS\activate.exe');
 DeleteFile('C:\thumbs.db');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','vidc.ffds');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','vidc.ffds');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


3. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

4.

Код:

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновите AVZ и повторите логи AVZ.

5. Выполните лог RSIT.

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Saigo-no-katsu]

Все, что нужно было, сделала. Ответа от лаборатории Касперского еще не было. Файлы прикрепляю.
На сайты доступ снова открылся - проверила. Спасибо вам большое. )

[Farger]

1.С помощью AVZ найдите файл lllhsmei.sys -> Как искать файлы при помощи AVZ. Если найдете, проверьте на virustotal и дайте ссылку на результат.
2.Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

3. Пофиксить в HJT

Код:

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Tensons.Application.DownloadAcceleratorManager.BHO - {00000003-1118-11da-8cd6-0800200c9888} - mscoree.dll (file missing)
O2 - BHO: MHTBPos00 - {0C37B053-FD68-456a-82E1-D788EE342E6F} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6754A456-BAD9-11D4-93D3-00B0D03A2F91} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: script helper for ie - {9B5FB65F-631E-4564-ABF2-AD71845B28E0} - (no file)
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
O3 - Toolbar: (no name) - {5BCDC9E9-A980-4B53-B2E8-60CFF484DA61} - (no file)
O3 - Toolbar: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O18 - Protocol: base64 - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: chrome - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O18 - Protocol: prox - {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} - (no file)
O24 - Desktop Component 0: (no name) - http://www.zaycev.net/captcha.php?id=c7efbf569bddfba2a5030d3c55b38af0

4. Если не устанавливали http://webalta.ru и http://smaxi.net стартовыми и поисковыми страницами, тогда эти строки тоже пофиксите:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

5. Ваш провайдер - OJSC VolgaTelecom?

6. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe','');
 QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe','');
 QuarantineFile('C:\WINDOWS\system32\4B.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe','');
QuarantineFile(' C:\WINDOWS\system32\46.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C2.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C5.exe','');
QuarantineFile(' C:\WINDOWS\system32\7C5.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe','');
QuarantineFile(' C:\WINDOWS\system32\7E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe','');
QuarantineFile(' C:\WINDOWS\system32\A7E.exe','');
QuarantineFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe','');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7E.exe');
DeleteFile(' C:\WINDOWS\system32\7E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\A7E.exe');
DeleteFile(' C:\WINDOWS\system32\A7E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\C.exe');
 DeleteFile('C:\WINDOWS\system32\4B.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\3E.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\46.exe');
DeleteFile(' C:\WINDOWS\system32\46.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C2.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\ 7C5.exe');
DeleteFile(' C:\WINDOWS\system32\7C5.exe');
DeleteFile('C:\DOCUME~1\2A9E~1\LOCALS~1\Temp\7B.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

7. Запустите еще раз MBAM и удалите все, что он найдет.

Повторите логи AVZ и RSIT.

[Saigo-no-katsu]

1) Файла такого не нашла.
2)Сделала.
3)Профиксила.
4)Тоже
5)Да
6)Сделала.
7)Удалила.
Файлы прикрепляю.

[Saigo-no-katsu]

Ответ от лаборатории Касперского пришел. Сказали, что вредоносных программ в архиве не обнаружено.
Правда, возникла пара проблем: пропало оформление на сайтах Одноклассники, вконтакте и еще на нескольких...
Извините за такие неудобства, я просто полный лузер в компьютерах. =(((

[Farger]

Здравствуйте,

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение, а также эмулятор дисков. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

[Saigo-no-katsu]

Здравствуйте,
Все сделала, файл прикрепляю.

[Farger]

У вас сборка Windows?

Файлы c:\windows\regedit.exe и c:\windows\system32\winlogon.exe проверьте на virustotal и дайте ссылку на результат.

hxxp://soft.export.yandex.ru – сайт вам знаком?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyO penPorts\List]
"29760:TCP"= -

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.