[Farger]

Здравствуйте,

Прикрепите лог от ComboFix.

1. Скачайте ATF Cleaner на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('tmeterMP.sys','');
QuarantineFile('MEMSWEEP2.sys','');
QuarantineFile('UPGZ.sys','');
QuarantineFile('C:\DOCUME~1\EEC0~1\LOCALS~1\Temp\awliypog.sys','');
DeleteFile('UPGZ.sys');
DeleteFile('MEMSWEEP2.sys');
DeleteService('UPGZ');
DeleteService('MEMSWEEP2');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\EEC0~1\LOCALS~1\Temp\awliypog.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin   
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');  
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксите их в HJT

Код:

 	
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Сделайте лог OTL

[ОК2011]

Сделал все, как сказали, но пока ничего не изменилось...

[iskander-k]

вы не сделали лог RSIT. Сделайте.

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[ОК2011]

...

[Farger]

Здравствуйте,

1. Эти файлы проверьте на virustotal и дайте ссылку на результаты:
C:\Documents and Settings\Анатолий\Application Data\Sys6925.Config Collection.sys
C:\WINDOWS\Sys3390 SettingsCollection.bin
C:\Documents and Settings\Анатолий\Application Data\usb.dat

2. Загрузите и сохраните SystemLook. Запустите ее, вставьте ниже написанный скрипт и нажмите "Look":

Код:

:file
%SystemRoot%\TOOLBAR.EXE
%SystemRoot%\MSTASKS1.EXE
%SystemRoot%\MSTASKS2.EXE
%SystemRoot%\MSTASKS3.EXE
%SystemRoot%\PAYDIAL.EXE
%SystemRoot%\SYSTIME.EXE
%SystemRoot%\NEW.EXE
:reg
HKEY_CURRENT_USER\Software\toolband

Полученный лог сохраните и приложите в ваше следующее сообщение.

3. Отлючитесь от сети, отключите антивирус

Запустите OTL, скопируйте ниже написанный скрипт в Custom Scans/Fixes и нажмите кнопку Run Fix

Код:

:OTL
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-1004336348-115176313-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-115176313-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-115176313-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [IE7_011]  File not found
O4 - HKU\S-1-5-18..\RunOnce: [IE7_011]  File not found
@Alternate Data Stream - 131 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8F8C2C24
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 102 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:430C6D84

:Services
 
:Reg
 
:Files
C:\WINDOWS\slavbib.ini
C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe
C:\Documents and Settings\Анатолий\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
C:\Documents and Settings\LocalService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

:Commands
[purity]
[emptytemp]
[emptyflash]
[Reboot]

Компьютер перезагрузится.

Будет создан лог, прикрепите к вашему следующему сообщению.

[ОК2011]

Доброго вам здоровья Farger, iskander-k и всем помощникам и участникам форума!..

Вот результаты проверки файлов на virustotal (простите, не знаю как делать ссылку) и логи.

По поводу C:\WINDOWS\slavbib.ini, - это файл Славянской Библии.

Домашняя страница и файл hosts пока не изменяются, но Internet Explorer не открывается, точнее начинает загружаться, но, немного подергавшись исчезает.
При попытке зайти на сайт обновления Windows замирает, ругнувшись на ошибку при восстановлении веб-узла, и появляется в адресной строке res://ieframe.dll/acr_error.htm#microsoft.com,http://www.update.microsoft.com/micr...ult.aspx?ln=ru

Переустанавливал Internet Explorer 8, не помогло. Может это и фаервол блокирует?..

[Farger]

Здравствуйте,

Цитата ОК2011:

но Internet Explorer не открывается, точнее начинает загружаться, но, немного подергавшись исчезает. »

Попробуйте проследовать этим рекомендациям Microsoft.

Цитата ОК2011:

При попытке зайти на сайт обновления Windows замирает, ругнувшись на ошибку при восстановлении веб-узла »

Посмотрите, пожалуйста,
здесь

[ОК2011]

Farger, добрый день!

Последовал Вашим советам обратиться к рекомендациям Microsoft, но проблема осталась. Что можно еще предпринять?.. Попытался установить антивирусные онлайн-проверки, но ничего не получилось..

[Farger]

Здравствуйте,

Цитата ОК2011:

Попытался установить антивирусные онлайн-проверки, но ничего не получилось.. »

Поконкретней можно?