[Pili]

amzir,

Цитата:

007Guard is a potentially unwanted program that pretends as a computer security application. It may redirect website ans hijack Internet Explorer homepage. Aliases: Adware.007Guard

очистите файл C:\WINDOWS\system32\drivers\etc\hosts
в нем д.б. только
127.0.0.1 localhost, можете добавить туда запись
127.0.0.1 www.007guard.com
Скачайте Spybot -S&D, установите и проверьте им систему
Выложите логи по правилам, для контроля

[amzir]

Vadikan, Pili, вот логи.

[amzir]

Еще такая вещь. Я очищаю host файл, перезагружаюсь и Outpost пишет вместо 007guard - AmzirПК(ну тоесть мое сетевое имя). Затем с помощью Spybot запускаю иммунизацию и вуаля, в host файле опять - 127.0.0.1 007guard и еще 8000 всяких ссылок и после перезагрузки опять сетевое обращение к 007guard вместо AmzirПК.
Может этот www.007guard.com что-то наподобие прокси сервера?

[Pili]

amzir,

Цитата amzir:

Outpost пишет вместо 007guard - AmzirПК »

всё правильно, это 1-ая мера защиты, теперь вместо внешнего адреса обращение идет к вашему компьютеру, т.е. соединений с 007guard.com не будет и ничего с www.007guard.com не будет скачиваться и устанавливаться.
Вы с помощью Spybot сканирование системы делали?

Цитата:

Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll

Скачайте LSP-FIX и удалите mdnsNSP.dll
Почистите временные файлы с помощью ATF Cleaner
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('C:\Windows\system32\timerstop.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.

[amzir]

Pili, сделал все вышеперечисленное, вот лог Malwarebytes' Anti-Malware.

Malwarebytes' Anti-Malware 1.11
Database version: 700

Scan type: Full Scan (C:\|)
Objects scanned: 120222
Time elapsed: 30 minute(s), 30 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

[Pili]

Файла ipinip.sys в системе нет физически, рез-ты по timerstop.sys

Цитата:

hnLab-V3 2008.4.30.0 2008.04.30 - AntiVir 7.8.0.11 2008.04.30 TR/ActivCrk.B Authentium 4.93.8 2008.04.27 - Avast 4.8.1169.0 2008.04.30 Win32:Rootkit-gen AVG 7.5.0.516 2008.04.30 - BitDefender 7.2 2008.04.30 Trojan.Activcrk.B CAT-QuickHeal 9.50 2008.04.29 - ClamAV 0.92.1 2008.04.30 - DrWeb 4.44.0.09170 2008.04.30 - eSafe 7.0.15.0 2008.04.28 Win32.Trojan eTrust-Vet 31.3.5747 2008.04.30 - Ewido 4.0 2008.04.30 Trojan.ActivCrk.b F-Prot 4.4.2.54 2008.04.30 - F-Secure 6.70.13260.0 2008.04.30 - FileAdvisor 1 2008.04.30 - Fortinet 3.14.0.0 2008.04.30 ActivCrk.A!tr Ikarus T3.1.1.26.0 2008.04.30 Trojan.Activcrk.B Kaspersky 7.0.0.125 2008.04.30 - McAfee 5284 2008.04.29 Generic.fh Microsoft 1.3408 2008.04.22 - NOD32v2 3065 2008.04.30 - Norman 5.80.02 2008.04.29 - Panda 9.0.0.4 2008.04.30 - Prevx1 V2 2008.04.30 TROJAN.HORST.FH Rising 20.42.20.00 2008.04.30 - Sophos 4.28.0 2008.04.30 Troj/ActivCrk-A Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.30 - TheHacker 6.2.92.297 2008.04.29 - VBA32 3.12.6.5 2008.04.29 - VirusBuster 4.3.26:9 2008.04.29 - Webwasher-Gateway 6.6.2 2008.04.30 Trojan.ActivCrk.B

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('TimerStop', 4);
 SetServiceStart('IpInIp', 4);
 DeleteService('TimerStop');
 DeleteService('IpInIp');
 DeleteFile('C:\Windows\system32\DRIVERS\ipinip.sys');
 DeleteFile('C:\Windows\system32\timerstop.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи virusinfo_syscheck.zip, hijackthis.zip
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола в текстовом формате, заархивируйте полученный файл и прикрепите к сообщению.

[amzir]

Pili,

[Pili]

amzir, антивирусы, spybot (tea timer), outpost отключите на время, повторите скрипт из поста 8 и заново сделайте лог virusinfo_syscheck.zip, после вып-ия скрипта timerstop.sys должен удалиться.
хмм...странно, по логам GSI некоторых файлов не увидел...
Сделайте логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения.

[amzir]

Сделал,