[AlexTNT]

Здравствуйте,
1). отключите антивирус/фаервол, интернет;

2). Очистите и создайте новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, Вы могли вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

3). Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли


4. сохранить реестр


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('Httvccbvachi');
 QuarantineFile('Httvccbvachi.sys','');
 DeleteFile('Httvccbvachi.sys');
 DeleteService('Httvccbvachi');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После выполнения скриптов сделать новые логи по правилам.



Создать новую контрольную точку восстановления и очищаем заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
2. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
3. нажмите No, если вы хотите оставить ваши сохраненные пароли
4. если вы используете Opera, нажмите Opera - Select All - Empty Selected
5. нажмите No, если вы хотите оставить ваши сохраненные пароли




для предотвращения заражения:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- отключить автозапуск. Для этого запустите AVZ, меню "Файл - Выполнить скрипт"-> Скопировать ниже написанный скрипт-> Нажать кнопку "Запустить"(Будет отключен автозапуск всех носителей кроме CD\DVD, т.к. после отключения автозапуска на CD\DVD могут возникнуть проблемы с эмуляторами дисков (Daemon Tools, Alcahol, и подобные):

Код:

 
 begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 end.

регулярно проверять систему антивирусными утилитами CureIT и AVPTool.

___________________
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

• Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

• И сделайте повторные логи AVZ с новыми базами.

[kifat]

Сделал что смог.
Восстановление системы у меня вырвано с корнем - мне проще переустановить винду, чем геморится с вирусами в точках восстановления (да и места свободного дефицит).
Как отключить ActiveX, я не нашел (сам пользуюсь Оперой, IE использует папа).
Скрипты выполнил, но авторан у меня вроде как и без того выключен - AVZ я использую довольно давно. Базы у него кстати и без того обновлены дальше некуда.

Логи Malwarebytes Anti-Malware предоставлю позже - сканирование занимает несколоко часов. http://forum.oszone.net/thread-186532.html - тут есть мои же логи от 27.09.10

[kifat]

Собственно отчет Malwarebytes Anti-Malware
(4 из 5 объектов, которые он нашел, находятся у меня на компьютере уже достаточно давно, почти с момента установки системы)

После выполнения инструкций контакт открывается. Других аналогичных проблем пока нет. Что же это все-таки было?

[iskander-k]

Цитата kifat:

Что же это все-таки было? »

Вирус.

Цитата AlexTNT:

Httvccbvachi.sys »

[AlexTNT]

Выполните АВЗ и сделайте повторные логи

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('aj7w8qgw');
 QuarantineFile('C:\WINDOWS\system32\drivers\aj7w8qgw.sys',' ');
 QuarantineFile('C:\WINDOWS\E4D153288C89484BB9AAF5BE9EA6D01C.TMP',' ');
 DeleteFile('C:\WINDOWS\system32\drivers\aj7w8qgw.sys');
 DeleteFile('C:\WINDOWS\E4D153288C89484BB9AAF5BE9EA6D01C.TMP');
 DelCLSID('SeBook.CShellExt extension');
 DelCLSID('A74C3C1A-734B-43AB-BB2E-4EC40DBBB510');
 DeleteService('aj7w8qgw');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

[kifat]

Контакт все еще работает, но обнаружилать такая же проблема (пингуется, но не открывается) с support.kaspersky.ru - впрочем, там не белый лист, а ошибка "возможно, страница не существует".
А не, сейчас открылась, только как-то медленно.
На всякий случай высылаю свежие логи, так как АВЗ при скрипте №3 добавил несколько файлов в карантин.
Кстати, при том же скрипте я встретил строчки:
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
Прямое чтение C:\WINDOWS\system32\drivers\vdi2nji1.sys

Что такое прямое чтение, и не опасны ли эти файлы?

[iskander-k]

Цитата kifat:

(4 из 5 объектов, которые он нашел, находятся у меня на компьютере уже достаточно давно, почти с момента установки системы) »

Известные вам можете восстановить из соответствующей вкладке в МБАМ.

Цитата kifat:

Что такое прямое чтение, и не опасны ли эти файлы? »

Нет.

выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин отправьте на

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.


По логам чисто.