Помогите плиз. Симптомы - редиректы по ссылкам в браузерах, баннеры, перезагрузки компа.

[PapaGinos]

Всем доброго дня!

Прошу помочь: Поймался вирус со следующими симптомами: при нажатии на ссыки на сайты открываются новые вкладки с рекламой в браузерах (в основном использую Оперу), но и в IE тоже такая же фигня. Ссылки открываются как нужно чаще всего со второго раза. Эпизодически на некоторых сайтах всплывают баннеры с рекламой.
Также периодически, при обращении в интернет из браузера или каки-либо программ, которые выходят в интернет при запуске (типа Hamachi, или игры, которые коннектятся к серверам при запуске), монитор гаснет, и через пару минут комп перезагружается.
Лечить пытался Касперским, Авастом,дрВебом. Изначально выловил Mobogenie, все почистил. Ситуация вроде стабилизировалась, но через некоторое время Mobogenie проявился снова и опять начались проблемы. Опять вычистил его, но эффекта нет.

Система WIN7 64 bit

Логи прилагаю. AVZ просканирован только системный диск, т.к. на компе еще 6 HDD, сканирование всего это ооооооочень долгий процесс.

Заранее благодарен за помощь.virusinfo_syscure.ziphijackthis.logvirusinfo_autoquarantine.zip

[Info_bot]

Уважаемый(ая) PapaGinos, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\MISHA\AppData\Local\Opera\Opera Next x64\cache\g_0022\opr0F71X.tmp','');
 QuarantineFile('C:\Users\MISHA\AppData\Roaming\newnext.me\nengine.dll','');
 QuarantineFile('C:\Users\MISHA\AppData\Local\Temp\6E91.tmp','');
 QuarantineFile('C:\Users\MISHA\AppData\Local\ConvertAd\ConvertAd.exe','');
 QuarantineFile('C:\Program Files (x86)\Mobogenie\MgAssist.exe','');
 DeleteService('MgAssistService');
 DeleteFile('C:\Program Files (x86)\Mobogenie\MgAssist.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 DeleteFile('C:\Users\MISHA\AppData\Local\ConvertAd\ConvertAd.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command');
 DeleteFile('C:\Users\MISHA\AppData\Local\Temp\6E91.tmp','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\77Zip973867.exe','command');
 DeleteFile('C:\Users\MISHA\AppData\Roaming\newnext.me\nengine.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
 DeleteFile('C:\Users\MISHA\AppData\Local\Opera\Opera Next x64\cache\g_0022\opr0F71X.tmp','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[PapaGinos]

По результатам выполнения скрипта в AVZ карантин не образуется.
Логи сделал свежие, прилагаю. В логах AVZ (стандартный скрипт) есть архив с карантином, прилагаю его.hijackthis.logvirusinfo_autoquarantine.zipvirusinfo_syscure.zip

[thyrex]

Что с проблемой?

[PapaGinos]

Меня смутил вот этот кусок лога AVZ (после выполнения стандартного скрипта). У меня не может быть такого IP - 192.168.137.1. Автоматически присвоенный IP роутером 192.168.0.101, это и есть нормальный IP:
Network TCP/IP settings
Interface: "Подключение по локальной сети"
IPAddress = "192.168.137.1"
SubnetMask = "255.255.255.0"
DefaultGateway = ""
NameServer = ""
Domain = ""
DhcpServer = "255.255.255.255"

- - - Добавлено - - -

проблема не решилась

- - - Добавлено - - -

Да, еще симптомы - при открытии сайтов Аваст начинает визжать, что доступ к сайту заблокирован, а на местах стандартных баннеров сайта высвечивается "страница недоступна" или что-то в этом духе

[thyrex]

Сделайте лог ComboFix

[PapaGinos]

вот лог combofix.

Пришлось запускать 2 раза, при первом запуске ближе к концу процесса произошла перезагрузка компа, на старте опять запустился комбофикс, но комп опять перезагрузился.

В итоге после второго прохода пока проблем не замечено. Буду наблюдать, если что - продолжу в этой же теме.

Спасибо!
ComboFix.txt

[PapaGinos]

Вобщем, система видимо чуть подчистилась, но открытие рекламы при нажатии на ссылки в браузере осталось, внезапные перезагрузки пока не наблюдаются. Всплывающий баннер тоже остался. Получается, проблема не решена. Подскажите куда дальше копать!

Спасибо!

[thyrex]

Сделайте логи RSIT

[PapaGinos]

выкладываю логи RSITlog.txtinfo.txt

[PapaGinos]

Логи выложил сообщением выше, плиз дайте еще советов! Спасибо!!!

[thyrex]

Неизвестные расширения для браузеров есть?

[PapaGinos]

Спасибо! Обнаружил расширения к Опере, мной не устанавливались, одно - dolka.ru, видимо оно и мутило воду.

Сейчас ситуация в компе стабилизировалась. Спасибо еще раз!!!

[thyrex]

Удалите ComboFix