При соединении с интернет, загружаются страницы

[comdiv]

Добрый день!
При соединении с интернет, автоматически начинают загружаться страницы. Адреса страниц разные, но в основном http://ya.ru . Пожалуйста, помогите справиться с проблемой, трафик кушает немерянно ....

[polword]

1.Профиксите в HijackThis

Код:

O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O9 - Extra button: JsConsole - {549D3A98-1496-42B4-BC43-BF1D6E8E3EE7} - C:\Program Files\Sleuth\SleuthBrowserExtensions.exe/custom (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {E59EB121-F339-4851-A3BA-FE49C35617C2} - ICQ.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

2. Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\vxdpla.dll','');
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\WINDOWS\system32\dls.exe','');
 QuarantineFile('c:\windows\system32\smphost.exe','');
 TerminateProcessByName('c:\windows\system32\smphost.exe');
 DeleteFile('c:\windows\system32\smphost.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
 DeleteFile('C:\WINDOWS\system32\dls.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[comdiv]

Программка долго сканировала...
Жду Ваших дальнейших указаний

[polword]

Отключите Системное восстановление!!! как- посмотреть можно тут

- удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c559105-9ecf-42b8-b3f7-832e75edd959} (Adware.ISTBar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> No action taken.


Зараженные файлы:
C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515623.exe (Trojan.Agent.CK) -> No action taken.
C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515715.exe (Malware.NSPack) -> No action taken.
C:\System Volume Information\_restore{3F5D6CC0-FE79-43BB-8A8C-DAC638BBEB46}\RP1478\A0515716.exe (Malware.NSPack) -> No action taken.
C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.

повторите лог

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 12
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\dls.exe - Backdoor.Win32.Agent.bcmt ( BitDefender: Gen:Variant.Buzy.102, AVAST4: Win32:BHO-ADC [Trj] )
  2. c:\\windows\\system32\\sdra64.exe - Packed.Win32.Katusha.o ( DrWEB: Trojan.PWS.Panda.114, BitDefender: Trojan.Spy.ZBot.WF, AVAST4: Win32:MalOb-IF [Cryp] )
  3. c:\\windows\\system32\\smphost.exe - Trojan-Spy.Win32.Lpxenur.l ( BitDefender: Spyware.13432, AVAST4: Win32:BHO-ADC [Trj] )
  4. c:\\windows\\system32\\vxdpla.dll - Trojan.Win32.BHO.azou ( DrWEB: Trojan.Click1.27838, BitDefender: Gen:Variant.Buzy.161, AVAST4: Win32:BHO-ADC [Trj] )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !