[TET.N]

Лог хайджека не могу прикрепить к сообщению....
буду разбираться, что делаю не так...

[alex_sev]

Цитата TET.N:

Лог хайджека не могу прикрепить к сообщению.... буду разбираться, что делаю не так... »

Запакуйте в архив

Все найденное в MBAM удалите, кроме этого:

Код:

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

[TET.N]

Спасибо за подсказку.
Посмотрите, пожалуйста лог.
Обнаружила, что меняется вид папок! из МВАМ сейчас поудаляю.

[alex_sev]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{DAC5944B-F843-4b90-B605-09DE3360CDE6}');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DelBHO('{30F9B915-B755-4826-820B-08FBA6BD249D}');
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
RebootWindows(true);
end.

Компьютер перезагрузится.

Далее:

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Подробнее читайте в руководстве.


+

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

[TET.N]

в MBAM файлы удалила, скрипт в АВЗ сделала,
Лог RSIT .Посмотрите, пожалуйста.

Копия содержимого файла SecurityCheck:

Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 20.12.2012 19:28:44
Program directory: C:\Documents and Settings\Admin\Local Settings\temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2012-12-12 08:29:31
Automatic Updates (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
ESET Smart Security 4.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
CCleaner v.3.11
HijackThis 2.0.2 v.2.0.2
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 16 v.6.0.160 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Reader 9.5.2 - Russian v.9.5.2 Внимание! Скачать обновления
Spelling Dictionaries Support For Adobe Reader 9 v.9.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.97
Opera 12.12 v.12.12.1707
-------------EndLog-------------------------------


принудительная реклама вроде де бы ушла.
еще какое-нибудь лечение нужно?

[TET.N]

спасибо за помощь

[alex_sev]

Установите обнвления по ссылкам из Вашего поста

+

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS

+

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe;
3. Нажмите кнопку "Изменить параметры проверки";
4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
5. Подтвердите изменение настроек нажатием кнопки "ОК";
6. Нажмите кнопку "Начать проверку";
7. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
13. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[TET.N]

Спасибо, что вы еще настаиваете на проверке, а то я уже расслабилась, хотя вид папок скачет, что и не орделишь где какой файл....
отправляю логи uVS и TDSS.
TDSS обнаружил подозрительный файл sptd, не удаляла.
посмотрите, пожалуйста, логи.

[alex_sev]

Вот теперь все хорошо.

Цитата TET.N:

файл sptd »

Это нормальный файл от эмуляторов CD-привода вроде Daemon Tools

У Вас видны остатки Combofix, запускать данную программу без контроля со стороны консультанта или осведомленного человека - не рекомендуется, поскольку возможно повреждение системы и удаление легитимных файлов, поэтому:

Деинсталлируйте ComboFix:

1. Нажмите Пуск => Выполнить (или через сочетание клавиш Win - R) в появившемся окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
   (Возможно придется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall )
   
   
   
   
   
2. Дождитесь сообщения об успешной деинсталляции ComboFix.
3. Скачайте OTCleanIt, запустите, нажмите Clean up

Рекомендации после лечения:

http://forum.oszone.net/post-1838507-9.html