[Sandor]

Смотрю логи.

Здравствуйте!

Пофиксите в HijackThis следующие строчки:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dubsearch.ru
O17 - HKLM\System\CCS\Services\Tcpip\..\{BAB419C3-FD6A-4159-A99E-7463EE6D6D20}: NameServer = 5.199.140.178

Если после этого пропадет подключение к интернету - в настройках сетевого подключения - ipv4 - свойства - dns пропишите вручную dns своего провайдера или публичные 8.8.8.8 alt 8.8.4.4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\DOCUME~1\admin\LOCALS~1\Temp\h02rf9l3.exe','');
 DeleteFile('C:\DOCUME~1\admin\LOCALS~1\Temp\h02rf9l3.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

Цитата:

%appdata%MalwarebytesMalwarebytes' Anti-MalwareLogs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

[manris]

прикрепляю файлы) кстати рекалмы вроди бы уже нету

[manris]

ой извиняюсь за два поста(

[Sandor]

Файл

Цитата:

C:\WINDOWS\system32\GreenFields.scr

проверьте на Virustotal , результат выложите тут.

Подготовьте такой лог:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

[manris]

Данный файл уже был проверен на VirusTotal 2013-03-17 03:45:58 .

Показатель выявления: 11/45

Можно посмотреть результаты предыдущего анализа, либо выполнить анализ ещё раз.
вот так?

[manris]

Имя файла: GreenFields.scr
Тип файла: Win32 EXE
Показатель выявления: 12 / 46

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 23.03.2013 17:41:56
Program directory: C:\Documents and Settings\admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Диск C:\ ФС: NTFS Емкость: (25 Гб) Занято: (9.3 Гб) Свободно: (15.7 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 17.01.2013 20:36:38
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
Foxit Reader 3.1.2.1013 v.v3.1.2.1013 Внимание! Скачать обновления
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 17 v.6.0.170 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------Browser------------------------------
Google Chrome v.25.0.1364.172 [+]
Mozilla Firefox 19.0.2 (x86 uk) v.19.0.2 [+]
Opera 10.10 v.10.10 Внимание! Скачать обновления
Opera 12.12 v.12.12.1707 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.12.1707.0
C:\Program Files\Mozilla Firefox\firefox.exe v.19.0.2.4814
-------------EndLog-------------------------------

[Sandor]

Цитата manris:

либо выполнить анализ ещё раз. »

Нужно было так сделать.
Проверьте еще раз и выложите ссылку на результат.

Обновитесь по ссылкам из вашего лога.

[manris]

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 24.03.2013 10:08:48
Program directory: C:\Documents and Settings\admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Диск C:\ ФС: NTFS Емкость: (25 Гб) Занято: (9.9 Гб) Свободно: (15.1 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 17.01.2013 20:36:38
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 6.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------OtherUtilities-----------------------
Foxit Reader v.5.4.5.124 [+]
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 43 v.6.0.430
Java(TM) SE Development Kit 6 Update 43 v.1.6.0.430
Java DB 10.6.2.1 v.10.6.2.1
-------------Browser------------------------------
Google Chrome v.25.0.1364.172 [+]
Mozilla Firefox 19.0.2 (x86 uk) v.19.0.2 [+]
Opera 12.14 v.12.14.1738
-------------RunningProcess-----------------------
C:\Program Files\Opera\Opera.exe v.12.14.1738.0
-------------EndLog-------------------------------

и вот ссылка
https://www.virustotal.com/ru/file/2...is/1364112478/

[SolarSpark]

что с проблемой?