[yurfed]

oleg65,
А может это дворник был?
Он шёл по сельской местности,
К ближайшему орешнику,
За новою метлой.

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe !!!!!
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime (ненавязчивый сервис)
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM') (говорилка в автозапуске необходима аж два раза?)
O17 - HKLM\System\CCS\Services\Tcpip\..\{40BA718D-430E-4B2C-8B01-21F30BAC7624}: NameServer = 62.219.186.7 192.117.235.235
O17 - HKLM\System\CS1\Services\Tcpip\..\{40BA718D-430E-4B2C-8B01-21F30BAC7624}: NameServer = 62.219.186.7 192.117.235.235

[Pili]

oleg65, В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\sofos32x.dll','');
 DeleteFile('C:\WINDOWS\sofos32x.dll');
 DelBHO('{73776361-F206-4A50-9687-801C6FE9BA31}');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (пофиксить то что останется)

Цитата:

O2 - BHO: Sofos - {73776361-F206-4A50-9687-801C6FE9BA31} - C:\WINDOWS\sofos32x.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file) O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm451YYIL O9 - Extra button: (no name) - DctMapping - (no file) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...aniaFWBInitial Setup1.0.0.15-3.cab

это ваш провайдер?

Цитата:

62.219.186.7 address: Bezeq International address: 40 hashacham st. address: Petach Tikva 49170 Israel address: Bezeq International address: 40 hashacham st. address: Petach Tikva 49170 Israel

[Котяра]

oleg65, это ВИРУС!

[Pili]

Точнее Trojan.FakeAlert из семейства SmitFraud

[oleg65]

Спасибо что успокоили!
Pili
А выполнить скрипт смогу только в выходные.Это удалённый комп(не смогу перезагрузить).
В любом случае спасибо.

[Pili]

oleg65, ок, и ещё повторите логи virusinfo_syscheck.zip и hijackthis
провайдер ваш?

[yurfed]

oleg65, Pili, совсем недавно приносили Notebook, настолько запущеный. ~3000! Trojan.FakeAlert наравне с Trojan.Win32.Zapchast + по мелочи . Вылечилось стандартно с CureIt, Avira и hijackthis. После 12 часов контрольной работы, небыло ни одного ложного окна от FakeAlert, с предложением посетить какой-то сайт и скачать оттуда некую утилиту.
Лечение проводилось с загрузочного СД. Тип действия- удалять.

[oleg65]

Доброго всем времени суток!Вот новые логи после проделанных скриптов.Табличка с нескромным предложением выскакивать перестала.Спасибо всем огромное,отдельное спасибо Pili !

[Pili]

oleg65, quarantine.zip нельзя выкладывать, уберите его через профиль - файлы
sofos32x.dll это Trojan-Downloader.Win32.Peregar.cj по Касперскому, для инф-ии:

Цитата:

AhnLab-V3 2008.4.25.2 2008.04.25 - AntiVir 7.8.0.10 2008.04.28 TR/BHO.Gen Authentium 4.93.8 2008.04.27 - Avast 4.8.1169.0 2008.04.28 - AVG 7.5.0.516 2008.04.27 Downloader.Generic7.GDM BitDefender 7.2 2008.04.28 Trojan.Renos.NCA CAT-QuickHeal 9.50 2008.04.26 TrojanDownloader.Peregar.ak ClamAV 0.92.1 2008.04.28 Trojan.Downloader-33019 DrWeb 4.44.0.09170 2008.04.28 - eSafe 7.0.15.0 2008.04.27 Win32.Peregar.ak eTrust-Vet 31.3.5741 2008.04.28 Win32/Burgspill!generic Ewido 4.0 2008.04.27 Downloader.Peregar.ak F-Prot 4.4.2.54 2008.04.27 W32/Downloader.H.gen!Eldorado F-Secure 6.70.13260.0 2008.04.28 Trojan-Downloader.Win32.Peregar.cj FileAdvisor 1 2008.04.28 - Fortinet 3.14.0.0 2008.04.28 W32/Peregar.AK!tr.dldr Ikarus T3.1.1.26 2008.04.28 Trojan-Downloader.Win32.Peregar.ak Kaspersky 7.0.0.125 2008.04.28 Trojan-Downloader.Win32.Peregar.cj McAfee 5282 2008.04.25 - Microsoft 1.3408 2008.04.22 Trojan:Win32/Delflob.I NOD32v2 3058 2008.04.27 - Norman 5.80.02 2008.04.25 W32/DLoader.GOIH Panda 9.0.0.4 2008.04.27 Trj/Downloader.MDW Prevx1 V2 2008.04.28 Generic.Malware Rising 20.42.01.00 2008.04.28 - Sophos 4.28.0 2008.04.28 - Sunbelt 3.0.1056.0 2008.04.17 Trojan-Downloader.Codec.gen Symantec 10 2008.04.28 Trojan.Fakeavalert TheHacker 6.2.92.294 2008.04.26 Trojan/Downloader.Peregar.ak VBA32 3.12.6.5 2008.04.28 Trojan-Downloader.Win32.Peregar.ak VirusBuster 4.3.26:9 2008.04.27 - Webwasher-Gateway 6.6.2 2008.04.28 Trojan.BHO.Gen

Странно, но на 28.04.08 DrWeb, NOD32, McAfee, Avast его не определяют
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O9 - Extra button: (no name) - DctMapping - (no file)

В остальном в логах чисто, проблем больше никаких не наблюдается? Trojan Remover можете деинсталлировать, имхо, пользы от этой программы почти никакой (как и от SpyEraser)

Цитата:

>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя

что из этого не нужно?