[решено] ТРОЯН!помогите!!!

S.R · Отправлено: **15:49, 12-09-2012** | #2

Выполните
http://forum.oszone.net/thread-98169.html

pavel_eight@vk · Отправлено: **16:58, 12-09-2012** | #3

вот все,что нужно

S.R · Отправлено: **17:26, 12-09-2012** | #4

Внимание! Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и подготовьте логи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\53W0hlPrv20', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\1\AppData\Roaming\winzipsoft', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\1\AppData\Roaming\53W0hlPrv20', '*', true, '', 0, 0);
 QuarantineFile('C:\Windows\tasks\At2.job','');
 QuarantineFile('C:\Windows\tasks\At1.job','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\4202900FDoh','');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\2442928FdOh','');
 QuarantineFile('C:\Users\1\AppData\Roaming\winzipsoft\wzipstart.exe','');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Qrs5QmfZhyE.exe','');
 DeleteFile('C:\Users\1\AppData\Local\Temp\2442928FdOh');
 DeleteFile('C:\Users\1\AppData\Local\Temp\4202900FDoh');
 DeleteFileMask('C:\53W0hlPrv20', '*', true);
 DeleteFileMask('C:\Users\1\AppData\Roaming\winzipsoft', '*', true);
 DeleteFileMask('C:\Users\1\AppData\Roaming\53W0hlPrv20', '*', true);
 DeleteFile('C:\Windows\tasks\At2.job');
 DeleteFile('C:\Windows\tasks\At1.job');
 DeleteFile('C:\Users\1\AppData\Roaming\winzipsoft\wzipstart.exe');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Qrs5QmfZhyE.exe');
 DeleteFileMask('C:\53W0hlPrv20', '*', true);
 DeleteFileMask('C:\Users\1\AppData\Roaming\winzipsoft', '*', true);
 DeleteFileMask('C:\Users\1\AppData\Roaming\53W0hlPrv20', '*', true);
 DeleteDirectory('C:\53W0hlPrv20');
 DeleteDirectory('C:\Users\1\AppData\Roaming\winzipsoft');
 DeleteDirectory('C:\Users\1\AppData\Roaming\53W0hlPrv20');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2447250');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','4211340');
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

________________________________________
Скачайте и запустите HiJackThis. Нажмите кнопку Do a system scan only.
В открывшемся логе сканирования поставьте галочки напротив указанных строк (некоторых строк может не быть) и нажмите кнопку Fix сhecked.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Удалите все незнакомые записи из файла C:\Windows\system32\drivers\etc\hosts.

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
________________________________________
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
Если программа уже установлена - обновите базы.
Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
После сканирования откроется лог. Если он не открылся, нажмите Ok - Показать результаты
Сохраните лог и прикрепите к сообщению.
________________________________________

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
Код:
```
tdsskiller.exe -silent -qmbr -qboot
```
Запустите файл fix.bat;
Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
Запустите файл TDSSKiller.exe;
Нажмите кнопку "Начать проверку";
В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Смените все пароли!

pavel_eight@vk · mbam-log-2012-09-12 (18-46-16).txt

вот

akok · Отправлено: **17:04, 13-09-2012** | #6

Не вижу.

Код:

C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

Пофиксить в HijackThis следующие строчки

Код:

 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net

Подготовьте лог SecurityCheck by screen317

pavel_eight@vk · Отправлено: **18:11, 13-09-2012** | #7

вот лог TDSSKiller

pavel_eight@vk · Отправлено: **18:26, 13-09-2012** | #8

а вот Security Check

S.R · Отправлено: **08:51, 14-09-2012** | #9

Обновите Java SE.
Обновите Mozilla Firefox.

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ.

pavel_eight@vk · Отправлено: **14:34, 14-09-2012** | #10

вот