Помогите избавиться от редиректа на сайт-вирус!

[Панич]

hijackthis.logvirusinfo_syscheck.zipВ эксплорере и др. браузерах (опера, хром) при каждом втором линке открываеися сайт-вирус. Лечить не получается. Постарался следовать вашим инструкциям - скачал и установил необходимые проги. Файлы прикрепляю. (64хразрядная система, т.е. virusinfo_syscure.zip. не делал) Помогите пожалуйста!

[Info_bot]

Уважаемый(ая) Панич, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

- Очистите кеш и куки браузеров

- Сделайте лог полного сканирования MBAM.

[Панич]

сделал
Malwarebytes Anti-Malware (Пробная версия) 1.70.0.1100
www.malwarebytes.org

Версия базы данных: v2013.01.08.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Павел :: ПАВЕЛ-ПК [администратор]

Защитный модуль : Включен

08.01.2013 12:36:52
MBAM-log-2013-01-08 (13-46-34).txt

Тип сканирования: Полное сканирование (C:\|D:\|F:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 391615
Времени прошло: 56 минут , 30 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 5
C:\Users\Павел\wgsdgsdgdsgsd.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Павел\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\12\6d3af78c-2f695665 (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Павел\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\20\72353fd4-3debd2c8 (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Павел\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\49\5a0b8431-5eda4949 (Trojan.Zbot) -> Действие не было предпринято.
D:\Adobe.Photoshop.CS6.v13.0.Pre.Release.Incl.Keym aker-CORE\keygen-CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Действие не было предпринято.

(конец)

[Techno]

- Выполните в АВЗ:

Код:

begin
DeleteFile('C:\Users\Павел\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\49\5a0b8431-5eda4949 ');
DeleteFile('C:\Users\Павел\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\20\72353fd4-3debd2c8 ');
DeleteFile('C:\Users\Павел\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\12\6d3af78c-2f695665 ');
QuarantineFile('C:\Users\Павел\wgsdgsdgdsgsd.exe','');
DeleteFile('C:\Users\Павел\wgsdgsdgdsgsd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Очистите кеш и куки браузеров

Что с проблемами?

[Панич]

Проблема к сожалению не устранилась. Файл с карантином по ссылке также отправить не могу, т.к. "Ошибка загрузки. Данный файл уже был загружен"...

[Techno]

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

- Пофиксите в HijackThis:

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=f057aaf9000000000000904ce52c1324&tlver=1.4.19.19&affID=16553
R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)

BabylonToolbar устанавливали?

- Очистите кеш и куки браузеров

- Сделайте лог ComboFix.

[Панич]

Все сделал. Профиксил в HijackThis по инструкции на сайте. Не понятно только что делать с вашим кодом и куда его вставлять... Очистил куки, скачал Комбофикс и сделал лог. Проблемы остались. А вот сам лог:

Скрытый текст

ComboFix 13-01-08.01 - Павел 08.01.2013 19:47:48.2.2 - x64
Microsoft Windows 7 Профессиональная 6.1.7601.1.1251.7.1049.18.4061.2739 [GMT 4:00]
Running from: c:\users\¦ртхы\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}
SP: Microsoft Security Essentials *Enabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((( Files Created from 2012-12-08 to 2013-01-08 )))))))))))))))))))))))))))))))
.
.
2013-01-08 15:51 . 2013-01-08 15:51 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-01-08 15:22 . 2012-11-08 17:24 9125352 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{74B216DF-8F80-48BE-866A-D4CBB6CC9F63}\mpengine.dll
2013-01-08 15:07 . 2013-01-08 15:07 -------- d-----w- c:\program files (x86)\Trend Micro
2013-01-08 13:40 . 2013-01-08 14:45 13312 ----a-w- c:\windows\SysWow64\drivers\vdqxnjq3.sys
2013-01-08 08:33 . 2013-01-08 08:33 -------- d-----w- c:\users\Павел\AppData\Roaming\Malwarebytes
2013-01-08 08:32 . 2013-01-08 08:32 -------- d-----w- c:\programdata\Malwarebytes
2013-01-08 08:32 . 2013-01-08 08:33 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
2013-01-08 08:32 . 2012-12-14 12:49 24176 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-01-08 08:32 . 2013-01-08 08:32 -------- d-----w- c:\users\Павел\AppData\Local\Programs
2013-01-07 17:43 . 2013-01-08 07:48 -------- d-----w- c:\program files\Google
2013-01-07 17:43 . 2013-01-08 07:48 -------- d-----w- c:\program files (x86)\Google
2013-01-07 14:59 . 2013-01-07 14:59 -------- d-----w- c:\program files\CCleaner
2013-01-07 14:57 . 2012-11-08 17:24 9125352 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-01-06 10:06 . 2013-01-06 10:17 -------- d-----w- c:\users\Павел\Doctor Web
2013-01-06 08:32 . 2013-01-07 14:45 -------- d-----w- c:\program files\Unlocker
2013-01-06 08:13 . 2013-01-07 14:45 -------- d-----w- c:\program files (x86)\BabylonToolbar
2013-01-04 11:10 . 2013-01-04 11:10 -------- d-----w- c:\users\Павел\AppData\Local\Apps
2013-01-04 11:10 . 2013-01-04 11:10 -------- d-----w- c:\users\Павел\AppData\Local\Deployment
2012-12-31 07:35 . 2012-12-31 07:35 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
2012-12-28 16:14 . 2012-12-28 16:15 -------- d-----w- c:\users\Павел\AppData\Roaming\Photo! Web Album
2012-12-28 16:14 . 2012-12-28 16:14 -------- d-----w- c:\program files (x86)\Photo!
2012-12-21 18:41 . 2012-12-16 17:11 46080 ----a-w- c:\windows\system32\atmlib.dll
2012-12-21 18:41 . 2012-12-16 14:13 34304 ----a-w- c:\windows\SysWow64\atmlib.dll
2012-12-21 18:41 . 2012-12-16 14:45 367616 ----a-w- c:\windows\system32\atmfd.dll
2012-12-21 18:41 . 2012-12-16 14:13 295424 ----a-w- c:\windows\SysWow64\atmfd.dll
2012-12-13 17:21 . 2012-12-13 17:22 -------- d-----w- c:\users\Павел\AppData\Roaming\VKDJ
2012-12-13 17:21 . 2013-01-08 15:15 -------- d-----w- C:\VkontakteDJ
2012-12-12 15:42 . 2012-11-09 05:45 2048 ----a-w- c:\windows\system32\tzres.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-12 18:17 . 2012-08-27 09:43 67413224 ----a-w- c:\windows\system32\MRT.exe
2012-11-29 10:25 . 2012-11-29 10:25 972264 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{634C36E9-B69A-425F-BD51-CA3AF4E60C2D}\gapaengine.dll
2012-11-19 16:26 . 2012-09-28 13:49 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2012-11-18 08:53 . 2012-10-08 14:56 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\Markup.dll
2012-10-29 14:56 . 2012-10-29 14:56 163056 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10142.bin
2012-10-16 08:38 . 2012-11-28 13:54 135168 ----a-w- c:\windows\apppatch\AppPatch64\AcXtrnal.dll
2012-10-16 08:38 . 2012-11-28 13:54 350208 ----a-w- c:\windows\apppatch\AppPatch64\AcLayers.dll
2012-10-16 07:39 . 2012-11-28 13:54 561664 ----a-w- c:\windows\apppatch\AcLayers.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R1 vdqxnjq3;AVZ-BC Kernel Driver;c:\windows\system32\Drivers\vdqxnjq3.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-11-09 160944]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
R3 WatAdminSvc;Служба технологий активации Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2012-08-27 1255736]
R4 FLEXnet Licensing Service 64;FLEXnet Licensing Service 64;c:\program files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe [2012-08-28 1038088]
R4 ICQ Service;ICQ Service;c:\program files (x86)\ICQ6Toolbar\ICQ Service.exe [2011-07-20 247872]
R4 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [2012-10-02 3064000]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2012-08-27 283200]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-12-14 398184]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-12-14 682344]
S2 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-08-30 128456]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-12-14 24176]
S3 NisSrv;Проверка сети (Майкрософт);c:\program files\Microsoft Security Client\NisSrv.exe [2012-09-12 368896]
S3 RTL8167;Драйвер Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 187392]
.
.
.
--------- X64 Entries -----------
.
.
------- Supplementary Scan -------
.
uLocal Page = c:\windows\system32\blank.htm
uStart Page = hxxp://www.yandex.ru/?clid=40316
mLocal Page = c:\windows\SYSTEM32\blank.htm
TCP: DhcpNameServer = 192.168.1.1
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Completion time: 2013-01-08 19:53:27
ComboFix-quarantined-files.txt 2013-01-08 15:53
ComboFix2.txt 2013-01-08 15:43
.
Pre-Run: 65*287*979*008 байт свободно
Post-Run: 65*230*131*200 байт свободно
.
- - End Of File - - 4BD920646A6534F26820F928BD02AEA1

Скрыть

[Techno]

192.168.1.1 - роутер? Смотрите настройки на предмет наличия вредоносных DNS.

[Панич]

А подробнее не подскажите как это сделать?

[Techno]

Просто сбросить роутер и настроить его заново сможете?