браузер заблокирован, выложил логи

[Eugen-523]

На компьютере сижу не один, кто и что запускал не знаю. Но ,как и у многих здесь, вместо запуска Yandex/Rambler/Odnoklassniki и может еще каких-то ссылок выходило сообщение о проблемах на этих адресах (якобы спамом их замучили) и просьбой активировать/подтвержить свой аккаунт с помощью СМС. Отправляемый текст СМС и номер день ото дня менялись, причем в один день на всех конкурирующих(!) поисковиках высвечивался один и тот же номер СМС. Был сделан вывод что это вирус выманивает честнозаработанное и ничего отправлено конечно не было, тем более с рабочего компьютера данные ссылки открывались без проблем (значит поисковики не отбивались от массированной атаки таким способом). Через 3 дня ссылки с домашнего компьютера начали выдавать пустой экран, как будто проблемы с IE. И вот я тут...

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

icesword21.05.09.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

icesword21.05.09.rar

[Pili]

Здравствуйте. Файл C:\sysprep\quake3.exe - Знаком?

Выполните в AVZ скрипт

beginClearHostsFile;ExecuteWizard('TSW', 1, 1, true);ExecuteWizard('BT', 1, 1, true);DeleteFileMask('%Tmp%', '*.*', true);end.

Скачайте AutorunDisabled.zip, распакуйте и примените.

Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:FilesC:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exeC:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\USB.exeI:\SYSTEMI:\activexdebugger32.exeD:\st.batD:\sss.bat:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02c2bfc8-dfb5-11dd-a7c7-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{100f166a-df3d-11dd-a7c5-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1dfd0977-f2d4-11dd-a801-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1eb66ae6-e31c-11dd-a7cd-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47348b2e-3fd3-11de-a8bb-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{53364e42-d323-11dc-a568-0013d4790c03}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76b1f94a-8f8a-11dc-a4be-0013d4790c03}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{81dbdd0f-8e06-11da-9885-806d6172696f}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b95c28fc-38b8-11de-a8a8-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9c2a742-50b9-11da-a8a4-806d6172696f}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d2b0ec31-5173-11da-ac5d-806d6172696f}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e928e35e-24be-11db-9a36-f164430f2b0b}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eac3db6a-5d26-11db-9ae1-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebe61ca8-f408-11dd-a803-000a94135151}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f3aef7c7-f8ad-11dd-a80e-000a94135151}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Проверьте наличие проблемы.

Edited May 21, 2009 by Pili

[Eugen-523]

Здравствуйте. Файл C:\sysprep\quake3.exe - Знаком? - НЕ ЗНАКОМ :blink:

Выполните в AVZ скрипт - ВЫПОЛНИЛ

Скачайте AutorunDisabled.zip, распакуйте и примените. - ПРИМЕНИЛ

Скачайте Flash Drive Disinfector - ССЫЛКА НЕ АКТИВНА, думаю многие уже обращали внимание на данный факт.

Скачайте OTMoveIt3 by OldTimer - СКАЧАЛ И ПРИМЕНИЛ СКРИПТ

Проверьте наличие проблемы. - проблемы нет :g:

Огромное спасибо данному форуму ))) что бы мы делали без энтузиастов борьбы на вирусном фронте!

05222009_210439.log

05222009_210439.log

[long.]

Скачайте Flash Drive Disinfector - ССЫЛКА НЕ АКТИВНА, думаю многие уже обращали внимание на данный факт

Нашёл - Flash_Disinfector, в названии нет слова Drive.

Адрес http://www.spyware-ru.com/flash_disinfector/

Pili, akoK, потвердите пожалуйста, этo oнa? Спасибо.

[Pili]

Flash Drive Disinfector - ссылка действующая, проверено, Flash_Disinfector.exe MD5: a37c8c8523b2027897be24c9dec7cf35, размер файла 132 597 bytes

Edited May 22, 2009 by Pili