Непонятный вирус

Здравствуйте. Я столкнулся с [COLOR=#ff0000]непонятной[/COLOR] проблемой. Уже весь интернет облазил, ничего не нашел. AVZ и Cureit ничего не находят. В общем я даже записал видео о своей проблеме:

[video=youtube;IK7_xaftOJc]http://www.youtube.com/watch?v=IK7_xaftOJc[/video]

Идет подмена адреса. Я специально вводил любые ссылки, а меня перекидывает на вирусный сайт. Я даже понятия не имею, как мог его подхватить. При запуске браузера выдает сразу 3 вируса. Прошу помощи! Какие данные мне надо предоставить?

virusinfo_auto_LENOVO-PC.zip: [URL="http://files.mail.ru/37BE1F404B6E4A1283EB77FAE3E38027"]virusinfo_auto_LENOVO-PC.zip[/URL]

Уважаемый(ая) [B]SkillRu1337[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Я добавил все нужные файлы. Завершил на сколько смог процессов. Прошу помощи.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

И заранее хочу знать. Когда примерно ждать ответа? Надо ли поднимать тему, чтобы хелперы ее увидели?

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера.

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O20 - AppInit_DLLs:
[/CODE]

Сделайте такие [url=http://tools.safezone.cc/glax24/SIT/SITLog.zip]логи[/url]

[QUOTE=mike 1;1106075]Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера.

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.

[CODE]
O20 - AppInit_DLLs:
[/CODE]

Сделайте такие [url=http://tools.safezone.cc/glax24/SIT/SITLog.zip]логи[/url][/QUOTE]

Я выполнил код в avz, компьютер перезагрузился. Вроде бы при первом запуске пропал, второй раз запустил, антивирус опять кричать начал.

Логи прикрепляю.

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

[QUOTE=mike 1;1106158][LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].[/QUOTE]

Все сделал, лог прикрепляю.

Заметил еще одну вещь этого вируса:

[ATTACH=CONFIG]469573[/ATTACH]

А когда нажимаешь, то перекидывает на ссылку вируса.

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B].[*]По окончанию сканирования снимите галочки со следующих строк:
[CODE]
Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\Program Files\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\Lenovo G510 (172924)\AppData\Local\Yandex
Folder Found C:\Users\Lenovo G510 (172924)\AppData\LocalLow\Yandex
Folder Found C:\Users\Lenovo G510 (172924)\AppData\Roaming\Yandex
[/CODE][*]Нажмите кнопку [B]"Clean"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

Всё сделал, всё тоже самое. Лог прикрепляю.

В других браузерах проблема наблюдается?

[QUOTE=mike 1;1106528]В других браузерах проблема наблюдается?[/QUOTE]

Да, в Opera, Google Chrome, FireFox, Internet Explorer. Везде в общем.

Выходите в интернет через роутер?

[QUOTE=mike 1;1106601]Выходите в интернет через роутер?[/QUOTE]

Напрямую. Соединение PPTP, интернет МТС, подключаюсь через ярлык.

Выполните скрипт в AVZ:

[CODE]
begin
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
[/CODE]

Компьютер перезагрузится. Проверьте проблему.

[QUOTE=mike 1;1106656]Выполните скрипт в AVZ:

[CODE]
begin
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.
[/CODE]

Компьютер перезагрузится. Проверьте проблему.[/QUOTE]

Не помогло. Есть такая проблемка, у меня есть еще один ноут дома и на нем, когда заходишь в браузер, тоже вирус вылезает. Может быть это из-за провайдера?

[QUOTE=SkillRu1337;1106670]Не помогло. Есть такая проблемка, у меня есть еще один ноут дома и на нем, когда заходишь в браузер, тоже вирус вылезает. Может быть это из-за провайдера?[/QUOTE]
Возможно. Попробуйте еще Аваст обновить до последней версии.

Обновил, тоже самое. На форуме аваст я нашел обращение 2 дня назад с такой же проблемой.

[url]http://forum.avast.com/index.php?topic=148447.0[/url]

Давайте еще такой лог сделайте, но скорее всего это ложное срабатывание Аваста.

[LIST=1][*]Скачайте [B][URL="http://safezone.cc/resources/universal-virus-sniffer-uvs.7/"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST]

[QUOTE=mike 1;1106925]Давайте еще такой лог сделайте, но скорее всего это ложное срабатывание Аваста.

[LIST=1][*]Скачайте [B][URL="http://safezone.cc/resources/universal-virus-sniffer-uvs.7/"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][/LIST][/QUOTE]

Готово. Залил на RGHOST, т.к. закончилась память для прикрепления.
Ссылка: [url]http://rghost.ru/private/53844825/5afc5be303a4902b925835e30fefe19f[/url]

+ Это не может быть ошибкой, т.к. при поиске в яндексе пишет "Возможно вы имели ввиду [url]http://здесь[/url] запрос/", а когда переходишь, то кидает на вирусную ссылку.
[ATTACH=CONFIG]469912[/ATTACH]