[Tik09]

да, забыл сказать, hosts впорядке.

[SolarSpark]

Проверьте сами на http://www.virustotal.com файл

Код:

C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll
C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys

ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\318f8.msi','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
 QuarantineFile('c:\program files\common files\ms64sign.cert','');
 QuarantineFile('c:\windows\system32\videodriver.exe','');
 DeleteFile('c:\program files\common files\ms64sign.cert');
 DeleteFile('c:\windows\system32\videodriver.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VideoDriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Важно!
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты

[Tik09]

спасибо за отзыв)

quarantine.zip - создал.
Но отправить немогу, не пускает. И на http://www.virustotal.com тоже, т.к. тоже доступ закрыт.
Щас просканю Gmer, отпишусь.

[Tik09]

вот лог

[iskander-k]

Когда закончите с гмер
выполните

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

[Tik09]

вот лог от комбофикс:

[Tik09]

еще заметил, с помощью NetLimiter, что svchost.exe время от времени что-то куда-то отправляет, на разные ip адресса.

[iskander-k]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

Код:

gmer.exe -del service dmdrag
gmer.exe -del file "C:\WINDOWS\system32\huohu.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dmdrag"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dmdrag"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6221:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=" "
NetSvc::
dmdrag

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

[Tik09]

да, после выполнения батника, все стало нормально.
на все сайты заходит.
спасибо огромное)