Всплывающие окна в "опре".

[Soslan]

Добрый день.
Появились всплывающие окна(баннеры) в опере.
Сперва было окно с предупреждением об угрозе заражения, далее с порносайтами и предложениями прислать СМС.

Любезно прошу посмотреть подготовленные логи.

[Info_bot]

Уважаемый(ая) Soslan, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[ARMA9000]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\winload.dll','');
 QuarantineFile('C:\WINDOWS\ALCWZRD.EXE','');
 QuarantineFile('C:\WINDOWS\system32\trgobmk.dll','');
 DeleteFile('C:\WINDOWS\system32\trgobmk.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
Сделайте новые логи.

[Soslan]

Спасибо.
Архив отправил.
Но до этого прошелся Dr.WebCureIt+ Последние базы касперского начали работать.

Вот лог Dr.Web(в архиве)

[Acidorum]

Здравствуйте!
Пожалуйста, приложите не лог CureIt!, а логи AVZ и HijackThis.

[Soslan]

Здравствуйте.
Логи прикрепляю.

Баннер опять появился.
Проверил касперским папку оперы, нашел Trojan.Win32.Agent.nfup и Trojan.Win32.Agent.nfot
Надеюсь на вашу помощь.
Спасибо.

[thyrex]

Сделайте лог полного сканирования МВАМ

[Soslan]

Прикрепляю.

[polword]

- удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{3229DFCD-3EAF-4712-ED45-4876FEDC170C} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{3229DFCD-3EAF-4712-ED45-4876FEDC170C} (Trojan.BHO) -> Value: {3229DFCD-3EAF-4712-ED45-4876FEDC170C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{3229DFCD-3EAF-4712-ED45-4876FEDC170C} (Trojan.BHO) -> Value: {3229DFCD-3EAF-4712-ED45-4876FEDC170C} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.


Зараженные файлы:
c:\documents and settings\Admin\application data\archsoft\archstart.exe (Trojan.FakeSMS) -> No action taken.
c:\documents and settings\Admin\application data\archsoft\winzipk.exe (Trojan.FakeSMS) -> No action taken.
e:\avz4\quarantine\2010-07-21\avz00001.dta (Spyware.Agent) -> No action taken.
e:\avz4\quarantine\2010-08-07\avz00002.dta (Spyware.Agent) -> No action taken.
c:\documents and settings\Admin\application data\avdrn.dat (Malware.Trace) -> No action taken.
c:\WINDOWS\system32\fjhdyfhsn.bat (Malware.Trace) -> No action taken.

- Сделайте повторный лог MBAM

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('c:\WINDOWS\system32\mt_32.dll','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

[Soslan]

Лог приложил.
Карантин отправил

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения вредоносные программы в карантинах не обнаружены