[Sandor]

Смотрю логи.

[Sandor]

Здравствуйте!

Пофиксите в HijackThis следующие строчки:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9084BA4F-790D-47A1-B68F-493BE8542159}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{952AF0B0-F207-425F-84E8-8CC905409D2F}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B958318-ABDE-41AA-BCEA-4251C93E44A3}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8907E8F-11B4-4F35-8DAD-43B69B6EE969}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180

Если после этого пропадет подключение к интернету - в настройках сетевого подключения - ipv4 - свойства - DNS, пропишите DNS своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\TEMP\664DC42836.sys','');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

Цитата:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

Повторите логи AVZ и RSIT.

[nel4ik]

quarantine.zip - отправлено
логи прикреплены.

надеюсь ничего не забыла

[nel4ik]

логи

[Sandor]

Если MBAM уже закрыли, повторите сканирование (можно только диск С) и удалите:

Цитата:

C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято.

Сохраняется ли еще проблема?

[nel4ik]

Sandor, пока не репродьюсится проблема. баннера не видно
спасибо Вам большое!!!
до завтра ещё буду тестировать, и если всё будет хорошо, то от меня Вам миллион благодарностей)))

[Sandor]

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

+ Смените все важные пароли на веб-ресурсах.

[regist]

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 20 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[nel4ik]

Sandor,

отчёт по SecurityCheck by glax24

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 25.03.2013 16:43:45
Program directory: C:\TEMP\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=3.1
Диск C:\ ФС: NTFS Емкость: (195.2 Гб) Занято: (16.8 Гб) Свободно: (178.4 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 28.10.2011 17:46:34
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-22 17:35:28
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 5.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 5.0
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 29 v.6.0.290 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u39-windows-i586.exe)^
-------------AppleProduction----------------------
QuickTime v.7.1.6.200 Внимание! Скачать обновления
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.0.1.152 Внимание! Скачать обновления
Adobe Reader 8 - Russian v.8.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.25.0.1364.172 [+]
Opera 12.14 v.12.14.1738
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.14.1738.0
-------------EndLog-------------------------------

regist,
закачала архив как описано на сайте.


Сведения о файле:Размер файла, байт: 7387546
MD5: 28ADAA130E0766028BBB6436EAACD9B6

Файл успешно загружен закачан и поставлен в очередь на обработку, спасибо!



Что-то дальше?