Частый редирект на http://www.sesearch.ru в Opera

[dnk]

В браузере Opera 12.16.1860 ни с того ни с сего при щелкании по любой ссылке, в окне ввода текста или просто даже иногда по полю страницы идет редирект на сайт поисковой системы http://www.sesearch.ru, а затем с него на сайт магазина.

CureiT'ом сканировал - нашел 2 вируса, очистил, но все равно продолжается. Кеши и куки чистил.

Вопрос: Что и где погасить?

P.S. Авторство картинок во вложении принадлежит пострадавшему человеку с другого сайта.

hijackthis.log

hijackthis.log

Изменено 7 августа, 2013 пользователем dnk

[dnk]

кто-нибудь сталкивался с этой проблемой?

[Sandor]

Сделайте полный комплект логов по правилам.

[dnk]

Сделайте полный комплект логов по правилам.

Логи.rar

Логи.rar

[Sandor]

@dnk, логи AVZ не правильные.

прикрепите к своей теме только следующие файлы (логи): virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt.

Перечитайте правила и переделайте п.п. 2 и 3.

[dnk]

@dnk, логи AVZ не правильные.

Перечитайте правила и переделайте п.п. 2 и 3.

Переделал. А что никто вообще ни в курсе что ли этого вируса sesearch, яндекс уже кишит запросами...virusinfo.info - не открывается сайт, вместо него открывается yandex.ru. В яндексе над сводками погоды отображается информационная лента sesearch. Не всегда, но часто - стоит только щелкнуть по какой-то ссылке или просто по окну вводу текста, а то и по дропбоксу или вообще окну - сразу идет редирект на этот сайт, а с него - на магазины одежды. Причем замечу, что, оказывается не только в opera, но и в firefox тоже, но реже, в IE пока не наблюдал. Отключал все настройки, удалял какой-то torch-браузер, разные тулбары, чистил temp, кеш, отключал средства поиска, блокировал содержимое http://www.sesearch.ru/* http://js.smi2.ru/* http://imgg.dt00.net/* http://static.smi2.ru/* http://s0.teasermaster.ru/* - удалось только сделать так, чтобы браузер блокировал открытие этих сайтов, но не более.

log.zip

log.zip

Изменено 5 августа, 2013 пользователем dnk

[Sandor]

@dnk, будьте внимательны. Не нужно менять никаких настроек при выполнении стандартных скриптов. Не нужно упаковывать всю папку с нужными и ненужными логами. Выполняйте только инструкции.

В обязательном порядке скачайте и установите все обновления безопасности windows

Особенное внимание обратите на эти заплатки

MS08-067

MS08-068

MS09-001

Отключите автозапуск программ с различных носителей, кроме CDROM. Пуск - выполнить - cmd (запуск от имени администратора). В окно командной строки скопируйте и вставьте команду:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221

Нажмите enter. Для подтверждения перезаписи нажмите Y.

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista и Windows 7 запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER

приостановить их работу для корректной работы утилиты

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Если GMER не запустится:

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer 3.0 Final - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe

1. Выбрать в списке кидокилер KidoKiller
   
2. Установите галочку Записать в лог 'report.txt'
   
3. Установите галочку Удаление остатков служб оставшихся после вируса
   
4. Перейдите на следующую страницу нажав кнопку >> и выберите Отключить автозапуск со всех носителей
   
5. Не ждать нажатия любой клавиши...
   
6. Нажмите кнопку Запустить KidoKiller
   

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Сделайте повторные логи AVZ + выполните лог RSIT

Изменено 5 августа, 2013 пользователем Sandor

[dnk]

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer 3.0 Final - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту Quick Killer.exe

Не открывает эту ссылку, выводит страницу яндекса http://yandex.ru/thread-221666.html на которой:

Secret Place

Секретный уровень

Вы попали на секретный уровень Яндекса.

Как попасть сюда еще раз:

ввести часть адреса русскими буквами, например: рудз.yandex.ru вместо help.yandex.ru (скачайте и установите Punto Switcher, если не хотите больше так ошибаться)

или написать особенное имя файла, например: inex.html, idnex.html или index.htm вместо index.html

Если вы оказались здесь, нажав на ссылку, опубликованную на Яндексе, пришлите эту ссылку нашему офицеру по адресу 404@yandex-team.ru, пароль — «четыреста четыре», отзыв — «спасибо, исправим».

Если вы хотите что-то найти в интернете, воспользуйтесь секретным поиском Яндекса: Найти

И помните: никому ни слова.

Что такое страница 404/403?

[Sandor]

Надо понимать, все до этого пункта вы уже выполнили?

В последовательности рекомендаций смысл лечения.

Изменено 5 августа, 2013 пользователем Sandor

[Gashak]

Sandor, спасибо, похоже, я разобрался с проблемой.

Вот моё решение, думаю, оно подойдёт.

Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.

В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.

После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров.

Другой вопрос: если это троян, то удалены лишь симптомы, но тело вируса где-то продолжает болтаться.

!

Предупреждение:

1. Прежде чем давать советы другим убедитесь что обладаете необходимой квалификацией для этого.

2. Специально для Вас разделил тему, однако Вы упорно продолжаете высказываться в чужой теме.

Штраф за кросспостинг.

Изменено 5 августа, 2013 пользователем Loader

[Sandor]

@Gashak, не советуйте то, в чем вы не уверены. У ТС кроме подмены DNS целый букет. Если вам лично еще нужна помощь, продолжайте в своей теме, а здесь, пожалуйста, больше не нужно ничего предлагать.

И осторожней с зубами)))

Изменено 5 августа, 2013 пользователем Sandor

[dnk]

добавляю лог

GMER 2.1.19163.log

GMER 2.1.19163.log

[Sandor]

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится rbwc87sp.exe случайное имя утилиты (gmer)

rbwc87sp.exe -del service qbwnclrbwc87sp.exe -del file "C:\WINDOWS\system32\kkuleo.dll"rbwc87sp.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet012\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet009\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qbwncl"rbwc87sp.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qbwncl"rbwc87sp.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.

Внимание: Компьютер перезагрузится!

Сделайте новый лог gmer.

[dnk]

Сканировал систему еще раз и GMER 2.1.19163 и Spybot - Search & Destroy 1.6.2 и Kaspersky Virus Removal Tool 11.0.0.1245 (2013.08.06) - никакого толку - по-прежнему отображаются объявления с этого сайта, вместо сайтов kaspersky.ru, cyberforum.ru, pchelpforum.ru и еще, наверняка, многих идет редирект на yandex.ru (секретный уровень какой-то) или вообще сайт не открывается - сервер не найден и все. Ничего не одолевает этот вирус. Обращаю внимание, что указанными выше программами я производил полную проверку всех дисков и почты на тщательном уровне всех файлов с эвристическим анализом и лечением - да касперский нашел 10 вирусов, удалил, GMER тоже находил, но толку все равно никакого. Найти и уничтожить тоже много нашел, в т.ч. остаток от Seneka 2-хлетней давности, удалил, а толку все равно никакого - в системе что-то надо еще править. Sandor, вот, похоже, тот же случай, потому что тот же тизер-seo-оптимизатор гадит. Объявления с сайта sesearch.ru отображаются на том самом месте, куда яндекс обычно вставляет рекламный баннер на flash-анимации.

P.S. Sandor, скрипт выше постом я выполнял, qbwncl удалилось из реестра.

Обнаруженные угрозы.txt

GMER 2.1.19163 (7.08.2013, 15.33).log

Обнаруженные угрозы.txt

GMER 2.1.19163 (7.08.2013, 15.33).log

Изменено 7 августа, 2013 пользователем dnk

[dnk]

Gashak и все, кто связан с virusinfo - спасибо

Выполнил:

Dnk, откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров.

Действительно в двух CCS была эта дрянь 5.104.108.204, оставил только DNS-адреса провайдера - сайты касперского и прочих стали открываться, чистил кеш DNS, но, к сожалению эта гадость (sesearch.ru) со своими баннерами еще присутствует и гадит своими редиректами, несмотря даже на то, что в hosts прописал

127.0.0.1	   mg.dt00.net188.127.240.12	   sesearch.ru

[Sandor]

@dnk, пожалуйста, до окончания лечения не выполняйте никаких других действий, кроме тех, что советуют официальные консультанты. Поскольку Вы что-то удаляли (антивирусами), картина изменилась. Поэтому повторите весь комплект логов по правилам и будем продолжать.

Изменено 7 августа, 2013 пользователем Sandor

[dnk]

Sandor

Просканировал систему сегодняшними базами Cureit в режиме повышенной защите - он тоже нашел зараженные объекты и грохнул их.

Далее воспользовался KIS по полной, но он пошел медленно (до 1% он дошел, ничего не нашел и я его выключил пока). Параллельно с KIS воспользовался программой Malwarebytes' Anti-Malware 1.75.0.1300 и вот только она, по ходу дела, уже на первых минутах запуска полной проверки нашла 4 подозрительных объекта и отправила их на карантин. Причем сразу же после этого тут же пропали ссылки-баннеры sesearch.ru в яндексе, вместо него появился ничего не появилось, а потом появился штатный flash-баннер яндекса (реклама машин и пр.) и все. Нашла программа аж 30 опасных объектов, но эта дрянь поисковая. Вот привожу лог Malwarebytes' Anti-Malware 1.75.0.1300:

Обнаруженные процессы в памяти:  0(Вредоносных программ не обнаружено)Обнаруженные модули в памяти:  0(Вредоносных программ не обнаружено)Обнаруженные ключи в реестре:  7HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.Обнаруженные параметры в реестре:  0(Вредоносных программ не обнаружено)Объекты реестра обнаружены:  5HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.Обнаруженные папки:  0(Вредоносных программ не обнаружено)Обнаруженные файлы:  27C:\Program Files\BurnAware Professional\burnaware.professional..4.7.0-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\GlobalSCAPE\CuteFTP 8 Professional\cuteftp.pro.8.3.4.0007-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\ImTOO\DVD Audio Ripper 5\DVD Audio Ripper 5.0.46.1212 (patch).exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Internet Download Manager\IDM.v6.xx.release.3-patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\HookLib.dll (PUP.Hooker) -> Помещено в карантин и успешно удалено.C:\Program Files\Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Помещено в карантин и успешно удалено.C:\Program Files\Offline Explorer Enterprise\Patch.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\PasswordsPro 3.1.0.0\PasswordsPro.exe (PUP.PasswordsPro) -> Помещено в карантин и успешно удалено.C:\Program Files\PRMT9\Patch PROMT 9.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\Program Files\Replay Media Catcher\patch.exe (Trojan.Agent.gen) -> Помещено в карантин и успешно удалено.C:\Program Files\WinRAR\Unipatch.exe (RiskWare.Tool.CK) -> Помещено в карантин и успешно удалено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.

Так вот, эта дрянь была где-то в первых указанных обнаруженных файлах - по ходу дела, в ключах реестра, т.к. патчеры это просто патчеры, но эта хорошая программа, разумеется (что правильно) посчитала и их хактулами, но я вам говорю, что дело здесь было не в патчерах, я в ключах реестра и в файлах восстановления, а также вот в последних указанных файлах. Последний (igfxtray) мне знаком еще по Conficker - эта дрянь, попавшая с зараженной машины через съемные накопители с работы, часто не давала мне покоя дома (на работе ПК общий - а раз общий, то никому ничего не надо, в плане "вирусной чистоты"). Обратите внимание: SweetPacks - это часть какой-то фишинговой программы-мессенджера типа SweetIM - дрянь какая-то, вообщем, которая, как я начинаю мимолетно вспоминать, по-моему, шла вместе с т.н. "torch-браузером", когда я то ли пытался скачать какой-то файл. Сейчас просто завал в интернете вот такой дряни, где предлагают, якобы, для скачивания файла еще что-то скачать, с помощью которого пойдет загрузка требуемого файла (на файлообменниках липовых это часто бывает), в т.ч. и т.н. margetgid.ru со своей рекламой, баннеры которого так любят помещать на торрент-ресурсах, потому что именно там постоянно вскакивают всплывающие окна, бесконечные баннеры, которые так и норовят залезть по мышь.

Кстати, после перезагрузки ПК с установленым KIS 14 ПК рухнул в BSOD (0x0000008E (0x000000C5.....) - видно, когда при старте ПК касперский начинает "шуровать", как он обычно и делает, он напарывается на какой-то драйвер, то ли свой то ли системный и все - этого уже достаточно, чтобы всё накрылось. Я уже давно им не пользуюсь (уже года 3 или 4), хотя раньше даже 1 раз в "белом ветре" лицензию покупал, но потом после заражения из-за того, что истек срок годовой лицензии (хотя ключ еще действовал 8 месяцев!!!!!!) меня по телефону послали на..., а также из-за того, что это ПО ужасно тормозит систему, вызывает, как выяснилось и до сих пор синие экраны, я удалил его тогда и сделал это сейчас. Хотя, не спорю, в новую оболочку разработчики внедрили много функционала...

Я, конечно, сделал точку восстановления, сейчас делаю бакап системы Acronis'ом. Посмотрю ситуацию в динамике, чтобы не дай Бог опять "вдруг" не возникло.

Если подытожить, что помогло:

1)

откройте Редактор реестра и раскройте следующую ветку: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Tcpip\Parameters\Interfaces.В списке будет несколько подразделов. Щёлкните по каждому из них, и, в правой части, ищите строку NameServer. Если вы увидите, что он не пустая, но имеет значение "5.104.108.204" (зуб даю, что именно это), то удалите это значение. Во всех подразделах раздела Interfaces не должно остаться ни одного ключа, имеющего значение 5.104.108.204. Ключ NameServer вообще должен быть пустым.После того, как вы удалите все значения, очистите кэш DNS. Пуск — Выполнить — команда cmd — в командной строке введите ipconfig /flushdns и нажмите Enter. Перезапустите браузер, проверьте наличие баннеров.

2) ПО Cureit (усиленный режим), GMER, Scan&Destroy 1.62 и самое главное это ПО Malwarebytes' Anti-Malware 1.75.0.130:

Примерно сдедующие участки:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847} (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\ADWare (Malware.Trace) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKLM\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> Помещено в карантин и успешно удалено.HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://www.smaxi.net) Хорошо: (http://www.google.com) -> Помещено в карантин и успешно исправлено.HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\apppatch\pqeeeq.exe,) Хорошо: (userinit.exe) -> Помещено в карантин и успешно исправлено.C:\RECYCLER\S-1-5-18\$a76943e7ccd4e8b98e353355565db735\U\00000008.@ (Trojan.0Access) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038966.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038967.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038968.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038969.exe (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038970.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038972.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038973.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038974.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038975.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038977.dll (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP128\A0038978.dll (PUP.Optional.SweetPacks) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP129\A0039035.exe (Trojan.Downloader) -> Помещено в карантин и успешно удалено.C:\System Volume Information\_restore{2207DAA7-6C32-4465-A39A-3CDC0D7BA009}\RP132\A0039833.exe (PUP.Hacktool.Patcher) -> Помещено в карантин и успешно удалено.C:\WINDOWS\Installer\1e3990b.msi (PUP.Optional.SweetIM) -> Помещено в карантин и успешно удалено.C:\Documents and Settings\dnk\Application Data\igfxtray.dat (Malware.Trace) -> Помещено в карантин и успешно удалено.

mbam-log-2013-08-07 (20-37-44).txt

mbam-log-2013-08-07 (20-37-44).txt

[Sandor]

@dnk, я разве просил Вас сканировать cureit, kis, mbam?

Наоборот, я попросил (вежливо) ничего такого не делать, а повторить комплект логов из правил - программы AVZ и RSIT.

Если Вы отказываетесь выполнять указания консультантов и предпочитаете самостоятельно решать проблему, можно попросить модераторов закрыть тему.