[Sandor]

Здравствуйте!

Сделайте дополнительно лог:

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS

[makar_GCD]

вот

[makar_GCD]

вот дополнительный лог

[Sandor]

1. Закройте все программы (обязательно!), временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.77.16 script [http://dsrt.dyndns.org]
   ;Target OS: NTv5.1
   
   breg
   
   zoo %SystemDrive%\PROGRAMDATA\MOZILLA\TYQCBDC.EXE
   addsgn A76592C9D486E8720BD469341C37EDFA258AFCF661D1E0877A4605C92D5BF438DCE83C907A7195092B8084160232454243FFA8727806A56C2DB0A00B1B136273 8 C:\PROGRAMDATA\MOZILLA
   
   addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C39035B5559D54E413E7573E559DB63E7C449E56468EBE59DBE87255DA77280977A42FC7F9378B 64 Trojan.Mods.2 [DrWeb]
   
   zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BORDHOI.DLL
   delall %SystemDrive%\PROGRAMDATA\MOZILLA\BORDHOI.DLL
   delall %SystemDrive%\PROGRAMDATA\MOZILLA\TYQCBDC.EXE
   delall WWW.APEHA.RU
   chklst
   delvir
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
   

   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

Повторите лог uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

Цитата:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

[makar_GCD]

Во время выполнения скрипта в uVS всплывало вот такое сообщение:

C:\PROGRA~2\Mozilla\bordhoi.dll используется процессом C:\WINDOWS\SYSTEM32\SVCHOST.EXE. Убить этот процесс?

Вы сказали ничего не удалять, я решил нажать Отмена, но выполнение скрипта все равно продолжилось. Как я понял, этот файл был удален после перезагрузки. ZOO-архив отправил на указанный ящик.

После этого Google стал вроде как работать нормально и проблему наверно можно считать решенной. Но, видимо, это поспешный вывод.

Прикрепляю повторный лог uVS и лог MBAM

[regist]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

C:\Users\makar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\EX06RK01\realtek_ac_97_audio_driver_for_windows_7[1].exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.
C:\Users\makar\Desktop\realtek_ac_97_audio_driver_for_windows_7.1.exe (PUP.Downloader.LoadMoney) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

----------------------------------

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

---------------------

что с проблемой ?

смените пароли.

[makar_GCD]

Удалил. Вот новый лог от MBAM.
Также вот лог от секюрити чек.
Проблема с поисковиками была решена еще на предыдущем этапе. Тему можно отмечать решенной?

[Sandor]

Обновите:

-------------AdobeProduction----------------------
Adobe Reader 8 v.8.0.0 Внимание! Скачать обновления

MBAM можно деинсталлировать.

Рекомендации после лечения.

Цитата makar_GCD:

Тему можно отмечать решенной? »

Да, удачи!

[makar_GCD]

Большое спасибо! Напоследок не могли бы вы порекомендовать антивирус, такой чтобы не шибко тормозил работу системы. У меня стоял Симантек, и система здорово висла. Сейчас ничего не стоит, рассчитывал обезопасить себя тем, чтобы просто не лазить по неизвестным сайтам. Но видимо после этого случая придется что-то поставить.