[alex_sev]

Сейчас погляжу, подготовьтесь к тяжелому лечению)))

[Sl1mka]

Готов Ноутбук подключен к проблеме, если вдруг со стационара не получится что-либо скачать )

Кстати, щас проверил - skype и icq работают. Если вдруг эта информация будет полезна.

[alex_sev]

Обновите Internet Explorer до IE8

в обязательном порядке скачайте и установите критические обновления windows
особенное внимание обратите на эти заплатки
MS08-067
MS08-068
MS09-001
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\UACsbnaiyfw.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\UACuwqbiqxo.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\prodrv01.SYS','');
 DeleteFile('C:\WINDOWS\system32\drivers\UACuwqbiqxo.sys');
 DeleteFile('C:\WINDOWS\system32\UACsbnaiyfw.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\WINDOWS\system32\drivers\UACuwqbiqxo.sys');
 BC_DeleteFile('C:\WINDOWS\system32\UACsbnaiyfw.dll');
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(8);
 ExecuteRepair(19);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yandex.ru/?clid=187997
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk

Так же подготовьте лог GMER

Повторите логи AVZ и RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Sl1mka]

alex_sev, а могу ли я интересоваться по каким-то отдельным вопросам, ежели что-то не будет получаться или не до конца до мен дойдет, у Вас в скайпе?

[alex_sev]

Добавляйтесь, но основные рекомендации я буду давать здесь

[Sl1mka]

сделал все как надо. выкладываю новые логи.

после установки ИЕ 8 на компе больше не получается открывать сайты даже через проводник.

[alex_sev]

Сейчас погляжу (а мы еще и не вылечились, я ж предупреждал о долгом лечении)

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится yief45zg.exe случайное имя утилиты (gmer)

Код:

yief45zg.exe -del service ntxcsgrb
yief45zg.exe -del service UACd.sys
yief45zg.exe -del file "C:\WINDOWS\system32\drivers\UACuwqbiqxo.sys"
yief45zg.exe -del file "C:\WINDOWS\system32\UACvnsswrxr.dll"
yief45zg.exe -del file "C:\WINDOWS\system32\UACmeylvjkf.dat"
yief45zg.exe -del file "C:\WINDOWS\system32\UACoowyqglt.dll"
yief45zg.exe -del file "C:\WINDOWS\system32\UACrfrmtypa.dll"
yief45zg.exe -del file "C:\WINDOWS\system32\UACsbnaiyfw.dll"
yief45zg.exe -del file "C:\WINDOWS\system32\UACkhnxmklt.log"
yief45zg.exe -del file "C:\WINDOWS\system32\UACprrvkmjp.log"
yief45zg.exe -del file "C:\WINDOWS\system32\UACpfchakdp.log"
yief45zg.exe -del file "C:\WINDOWS\system32\okkdnc.dll"
yief45zg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys"
yief45zg.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ntxcsgrb"
yief45zg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\UACd.sys"
yief45zg.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ntxcsgrb"
yief45zg.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\UACd.sys"
yief45zg.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\UACd.sys"
yief45zg.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.


Повторите сканирование MBAM и удалите только следующее:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\UACd.sys (Trojan.Agent) -> No action taken.
d:\avz4\infected\2011-09-03\avz00001.dta (Worm.Conficker) -> No action taken.
d:\avz4\infected\2011-09-03\avz00002.dta (Worm.Conficker) -> No action taken.

После выполненных операций пролечитесь так:
http://support.kaspersky.ru/faq/?qid=208636926

Лог утилиты приложите

[Sl1mka]

насчет MBAM - как видно по логам - там не было предложенных вами файлов. я ничего не удалял. это не ошибочно?

[alex_sev]

Не ошибочно, значит удалл гмер.

Жду повторного лога гмер и тдсскиллера