Очередная зараза...

[Ramzero]

В IE при выборе ссылки или пункта из меню избранное, открываются вовсе не те страницы... Постоянно висят какие-то баннеры, отделаться от которых не так просто. В поисковых системах не отображаются картинки и т.д. Одним словом, зараза присутствует.

P.S. Компьютер отказался перезагружаться в безопасный режим, поэтому п.2 раздела "Диагностика" пройти не удалось.

[kps]

BitAccelerator
ConnectionServices
удалите через Установку/удаление программ, это гадость.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\kavir.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
 QuarantineFile('C:\WINDOWS\xmlmimefilter.dll','');
 QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\baseijsnc32.dll','');
 DeleteFile('C:\WINDOWS\winlogon.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
 DeleteFile('C:\WINDOWS\System32\ntos.exe');
 DeleteFile('C:\WINDOWS\TEMP\winlogon.exe');
 DeleteFile('C:\WINDOWS\kavir.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('qandr');
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22765 ).

затем такой скрипт в AVZ :

Код:

procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
  i := Pos(SSS,SS); l := Length(ss);
  If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
  s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
 SS := '';  SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
 SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
 ParseString (SL,SS,' ');
 for i := 0 to SL.Count - 1 do Begin
   SS := SL[i];
   If Pos('ServerDll=base',SS) > 0 Then Begin
     If SS <> 'ServerDll=basesrv,1' Then Begin
	 AddToLog('Infected "SubSystem" value : ' + SS);
	 if MessageDLG('Fix "SybSustem" parametrs  ?', mtConfirmation, mbYes+mbNo, 0) = 6 then  Begin
	 SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
     end;
  end;
 end;
 SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
 If SSS <> '' Then Begin
  i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
  SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
  AddToLog('Infection name : ' + SSS + '.dll');
  SetAVZGuardStatus(True);
  If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
  RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems', 'Windows', 'REG_EXPAND_SZ', SS);
  SaveLog(GetAVZDirectory + 'SubSystems.log');
  RebootWindows(false);
 end;
SL.Free; SF.Free;
End.

Сделайте новые логи.

[drongo]

Я так понимаю вы ничему не научились, жаль. Windows XP SP1
Не следует устанавливать всякую гадость типа битакселератора
Не следует сидеть под учёткой администраторa в инете.
Нужно разумно управлять скриптами на посещаемых сайтах.Лучше всех с этим справляется firefox+noscript.

[Ramzero]

Запрошенные логи

[Ramzero]

Уважаемый Drongo, признаться я нарочно не устанавливал ни BitAccelerator, ни
ConnectionServices, возможно первое устанавливается автоматически как дополнение к какой-нибудь используемой мною графических программ, не берусь судить, поскольку в этом я не слишком силен...
Разделяю Ваше сожаление по поводу моей бестолковости в деле защиты компьютера, буду исправляться, спасибо)) Попытаюсь управлять скриптами, используя Outpost Firewall, рекомендованной вашими специалистами.
Хотелось бы получить некоторые пояснения относительно некоторых терминов и выражений, к примеру мне не совсем понятен смысл этого: "Не следует сидеть под учёткой администраторa в инете."

Заранее благодарю))

[drongo]

"Не следует сидеть под учёткой администраторa в инете."-> http://www.microsoft.com/rus/athome/...n_account.mspx
BitAccelerator &
ConnectionServicesсам( устанавливаются вместе )
не установиться, если не захотели;с графическими программами не связано, это от сервиса по обмену файлов letitbit.

насчёт управления скриптов через оутпост - не советую, замучаетесь и всё равно по моему лучшей защиты не получите.
Учитесь работать в firefox+ с плагином noscript для тонкой настройки для каждого сайта.


насчёт вашего зверинца, продолжим:
Вы забыли отключить оутпост перед исполнением скриптов, это очень плохо.Не забываейте!

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Рамис и Александра\Главное меню\Программы\Автозагрузка\MSWin-1646361036.exe','');
 DeleteFile('C:\WINDOWS\xmlmimefilter.dll');
 DeleteFile('C:\Documents and Settings\Рамис и Александра\Главное меню\Программы\Автозагрузка\MSWin-1646361036.exe');
  DelCLSID('{53B95211-7D77-11D2-9F80-00104B107C96}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

Пришлите карантин согласно приложению №3 правил .
Сделайте новые логи.

[Ramzero]

Логи.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 37
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\рамис и александра\\главное меню\\программы\\автозагрузка\\mswin-1646361036.exe - Trojan.Win32.SubSys.dk (DrWEB: Trojan.Okuks.based)
  2. c:\\windows\\kavir.exe - Email-Worm.Win32.Zhelatin.xh (DrWEB: Trojan.Packed.431)
  3. c:\\windows\\system32\\baseijsnc32.dll - Trojan.Win32.SubSys.ce (DrWEB: Trojan.Okuks.based)
  4. c:\\windows\\winlogon.exe - Trojan-Proxy.Win32.Small.mp (DrWEB: Trojan.Packed.573)
  5. c:\\windows\\xmlmimefilter.dll - not-a-virus:AdWare.Win32.XmlMimeFilter.g (DrWEB: Adware.PFilter.1)