[S.R]

Выполните http://forum.oszone.net/thread-98169.html

[Sub-Zero]

логи AVZ и HijackThis
Эта дрянь аж на трех компах засела... Везде одинаковые симптомы.

[alex_sev]

Сейчас поглядим

Первое:

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\DRIVERS\wod0205.sys','');
 QuarantineFile('c:\program files (x86)\jabpunch\jabpunch.exe','');
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Второе:

Подготовьте лог OTL by OldTimer

Третье

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Sub-Zero]

jabpunch.exe - Хорошая программа, я сам её ставил и баннеры были задолго до её установки на компьютер. Проблема 100% не в ней.
Теперь баннер исчез но... в IE9 при открытии какого либо сайта одновременно с ним открывается дополнительная вкладка с всё той же бобриллой, а далее эта вкладка автоматом редиректит на сайт с проститутками.
логи OTL и adwcleaner

[alex_sev]

Я знаю, что не в ней, просто для коллекции необходимо, так что скрипт выполняйте и карантин высылайте.
Интернет через роутер получаете?

Держите, вот Ваш поддельный DHCP и DNS серверы (выделил жирным), удаляйте из настроек интернета

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.12.219.20 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{613DDCE4-10AB-4020-87EA-67EF04BAB67A}: DhcpNameServer = 217.12.219.20 192.168.1.1

[Sub-Zero]

Цитата alex_sev:

Я знаю, что не в ней, просто для коллекции необходимо, так что скрипт выполняйте и карантин высылайте. Интернет через роутер получаете? Держите, вот Ваш поддельный DHCP и DNS серверы (выделил жирным), удаляйте из настроек интернета O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 217.12.219.20 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{613DDCE4-10AB-4020-87EA-67EF04BAB67A}: DhcpNameServer = 217.12.219.20 192.168.1.1 »

Да через роутер ASUS WL 520GU. Я где-то читал что есть вероятность заражения линукса на роутере. Комп как раз получает ip по dhcp с роутера. Этот адрес я видел в реестре и раньше когда только начал рыть эту проблему - из реестра тер его везде, но он снова появляется. Сейчас скину роутер в дефолт и прошью кастомной прошивкой. Далее выполню все скрипты как положено и отправлю лог.

[Sub-Zero]

Вирус действительно был в роутере. И это он выдавал машинам левые ip адреса по DHCP.
После переустановки прошивки на роутере из реестра компов исчезли левые адреса и вместе с ними пропали баннеры.
Карантин вышлю сегодня попозже.