Начал вылазить sex mambo

[jestgraff]

. До этого была другая фигня (антиштраф). Вот файлы

[Info_bot]

Уважаемый(ая) jestgraff, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','11303863');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','41005081');
 DeleteFile('C:\Users\B7E3~1\AppData\Local\Temp\11303816FdOh');
 DeleteFile('C:\Users\B7E3~1\AppData\Local\Temp\41005034FdOh');
 ExecuteRepair(13);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Сделайте логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.

[jestgraff]

Всё сделал

[Nikkollo]

Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=112250&tt=201208_mnt_n_3512_5&babsrc=HP_ss&mntrId=3ab7655f00000000000000ff13051b1f
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O1 - Hosts: 46.251.249.140 admulti.com mc.yandex.ru www.google-analytics.com counter.spylog.com counter.rambler.ru
O1 - Hosts: 46.251.249.139 vk.com wap.odnoklassniki.ru www.odnoklassniki.ru odnoklassniki.ru m.odnoklassniki.ru my.mail.ru m.vk.com
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 DeleteFile('C:\Windows\tasks\At1.job');
 DeleteFile('C:\Windows\tasks\At2.job');
 DeleteFileMask('C:\Users\Евгений\AppData\Roaming\pmkfpnAyxyU','*', true);
 DeleteDirectory('C:\Users\Евгений\AppData\Roaming\pmkfpnAyxyU');
 ExecuteRepair(13);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

Сделайте заново логи RSIT:
http://virusinfo.info/showthread.php...292#post859292
и приложите.

[jestgraff]

Вот. Правда в RSIT был 1 файл

[Nikkollo]

Рекомендую сменить все пароли (особенно банковские).

Что с проблемой?

[jestgraff]

Вроде не вылазит. Если появится, то отпишусь.
На счёт паролей: если так серьёзно, то может проще систему переустановить?

[Nikkollo]

В логах я заметил папку, которую обычно создает троянец из семейства Carberp. Дата создания 2012-12-08 17:47:53.
Они умеют воровать пароли, в том числе от интернет-банковских сервисов.
Папку я удалил и в повторных логах она не появилась.
Самого троянца по логам не обнаружил.
Это было просто мое косвенное подозрение, что он у вас был, но был прибит антивирусом.
Однако подозрение, что у вас была утечка паролей остается. Поэтому рекомендовал их сменить.

По логам больше подозрительного не обнаружил.
Не вижу необходимости переустанавливать систему.