[Farger]

Здравствуйте,

Сейчас посмотрю логи.

[Farger]

1. Файл C:\Program Files\Alwil Software\Avast5\ashShell.dll надо восстановить из карантина AVZ: Файл – Просмотр карантина – выделите файл – нажмите Восстановить.
2. Вижу, что запускали ComboFix – лог прикрепите.
3. Файлы C:\WINDOWS\system32\drivers\oreans32.sys и C:\WINDOWS\System32\drivers\dwshd.sys проверьте на virustotal и ссылку на результат запостите здесь.
4. Диск E это у вас что?
5. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\spb.exe');
QuarantineFile('c:\windows\system32\spb.exe','');
QuarantineFile('E:\NTGLM7X.sys','');
 QuarantineFile('E:\NTACCESS.sys','');
 QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
DeleteFile('c:\windows\system32\spb.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','RSPB');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

6. Пофиксить в HJT

Код:

 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://reclamat.ru

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://reclamat.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://reclamat.ru

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O4 - HKLM\..\Run: [RSPB] spb.exe

7. Ваш провайдер: Investelektrosviaz Ltd ?

8. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Повторите логи AVZ, RSIT.

[El Caballero]

1.Такого файла в карантине не нашёл
2.Я его запускал ещё давным давно, когда обращался за помощью на этот же сайт. Сейчас я уже смутно помню, где его брать и как им делать логи. Но при надобности, дайте ссылку на иснтрукцию - сделаю снова.
3.Файл dwshd.sys я не нашёл в той директории (просто я выполнил до этого скрипт, описанный в пятом пункте - до его выполнения я не мог зайти на этот сайт), результаты другого файла тут http://www.virustotal.com/file-scan/...4ad-1302363548
4. Без понятия. Вообще, у меня 2 сидирома и 3 привода в моём компьютере - G,E и F. Причём E открывается даже тогда, когда в сидиром не вставлен диск - не знаю, почему, т.к. Daemon Tools всё время создаёт образы на G. Поэтому отсюда выходит, что E и F реальные.
5.Выполнил скрипт, отослал файл с карантином. Пока написали, чо в процессе проверки.
6.Я нашёл только строку O4 - HKLM\..\Run: [RSPB] spb.exe, пофиксил. Остальных нету (они есть, но в их конце уже нету злополучного reclamat.ru; тем не менее, всё равно пофиксил. Однако второй и четвёртой строки там нету вообще)
7.Мой провайдер Билайн (бывшая Корбина)
8.Сделал, логи приложил (в конце нажал удалить все вирусы).

После этого всего, стартовая страница перестала меняться сама на тот сайт, но поиск и восстановление системы по прежнему не работают. Мне кажется, что они перестали работать после того, как я выполнил скрипт, который мне дали вот в этой теме http://forum.oszone.net/thread-204008.html

[Farger]

Пока смените все пароли (обязательно!) и скажите, диск с дистрибутивом Windows XP у вас есть?

[El Caballero]

Сменить пароли где? Диска нету.

[Farger]

У вас был килоггер. Надо сменить все пароли: на вход в ел. почту, онлайн игры, если через интернет вводили номер кредитной карточки и другое.
Относительно вашей проблемы с восстановлением системы и поиском: посмотрите это.
Если будете вносить изменения в реестр, сохраните его перед манипуляциями: скачайте ERUNT (прокрутите страницу вниз до заголовка Download ERUNT. Если хотите, можете скачать русификатор. Разархивируйте его в директорию ERUNT.
- Запустите файл erunt-setup.exe и следуйте указаниям. В процессе установки можете снять галочку Create NTREGOPT desctop icon. На вопрос, добавить ли ERUNT в автозагрузку, ответьте No. После завершения процесса инсталляции снимите галочку Show documentation и щелкните Finish.
- В появившемся окне приветствия щелкните ОК
- В следующем окне убедитесь, все три галочки "Системный реестр", "Реестр текущего пользователя", "Иные открытые записи реестра пользователя" поставлены и щелкните ОК.
- Появится предложение создать папку, в которой будет сохранена резервная копия реестра. Щелкните Да. По умолчанию резервная копия реестра будет сохранена в папке C:\WINDOWS\ERDNT\ДД.ММ.ГГ., где ДД.ММ.ГГ. - текущая дата
- Когда процедура сохранения реестра завершится, щелкните ОК.