[regist]

Цитата:

Внимание !!! База поcледний раз обновлялась 28.02.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.37.

Пожалуйста обновите базы

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteAVUpdate;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('c:\windows\fredo.sys','');
 QuarantineFile('C:\WINDOWS\apppatch\gnttbaj.exe','');
 DeleteFile('c:\windows\fredo.sys');
 DeleteFile('C:\WINDOWS\apppatch\gnttbaj.exe');
 DeleteService('newdriver');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

по окончанию лечения не забудьте сменить пароли.

[eleazar]

Скриптом прогнал, по случаю новую авз поставил, базу обновил, прогнал, новые логи прикрепил. В форму данные отправил.

Проблема с сайтами так и осталась, например сайт http://whitebox.com.ua выдаёт мне: невозможно подключиться к удалённому серверу. Хотя у всех работает. И под прокси работает.

У меня уже была такая проблема ранее - нашёл тогда в интернете совет в командной строке набрать: route -f
Тогда всё починилось. Сейчас проблема схожа, но решение не помогает. И удаление всякой бяки тоже похоже не помогло. Я в замешательстве.

[regist]

Профиксите в HijackThis

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[eleazar]

Долго очень проверялось, но вроде бы что-то нашлось. Пока ничего не удалял - логи прикрепил, жду вашего совета. Ещё раз спасибо за помощь.

[regist]

KGB Keylogger сами устаналивали ?

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:  2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  3
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7eьсAУ=Ћ?дёJє{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr8Б·Ї¶hЯЇ -вEФ,‡ѓҐSh‚Ј¤nQoк{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr-©@ЛП}l{x@V4(вrКЊ`f|·№ћЊGoЌ·њ{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrУ
„Є»э\5 -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://teerg.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://teerg.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\logs.dat (Bifrose.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Антон\Application Data\logs.dat (Bifrose.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Local Settings\Temp\IELOGIN.abc (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Антон\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Member of GRID -  Goodware Repository Information Database.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.


+ если кейлогер сами не ставили удалите также в MBAM

Код:

Обнаруженные папки:  8
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDA (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM (Refog.Keylogger) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\key.bin (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\s0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\sqlite3.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\S0000 (Refog.Keylogger) -> Действие не было предпринято.

--------------------------------------------------------

пролечитесь утилитой capperkiller лог работы утилиты приложите.

---------------------------

Внимание, следующее действие удалит установленные тулбары.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

сделайте новый лог сканирования MBAM

+ после окончания лечения не забудьте сменить пароли.

[eleazar]

Окно не закрыл ещё - кейлогер не ставил

[eleazar]

Всё кроме MBAM сделал (оно долго идёт - на ночь поставлю)
Логи прикрепил.
Какие-то позитивные сдвиги есть - какие-то старые мелкие баги пофиксились.
Но сайты некоторые всё равно не открываются! И я всё ещё в печали.

[Sandor]

Цитата eleazar:

сайты некоторые всё равно не открываются »

Пинг по имени идет? В любом браузере не открываются? В портативном тоже?

[eleazar]

Сайты не пингуются и в портативном тоже не открываются