Компьютер заражен

1. Компьютер заражен
2. Проявления точные:
- "обновился" explorer + какие-то "обновления" windows;
- изображение на экране стало мелькать;
- не получилось обновить AVZ;
- вместо экранной клавиатуры запустилась панель управления.

3. Проявления приблизительные (могут быть вызваны чем-то еще):
- с привычными сайтами, на которые приходилось ходить через IE, начались проблемы: то заходишь, то нет;
- примерно в это время пришло письмо с вложенным файлом Dannie_za 17_06.scr в RAR-овском архиве. Дрвеб этот файл называет Trojan.PWS.Turist.143, но не лечит последствия заражения. Нет 100% уверенности, что расписанное выше - последствия именно этого Trojan.PWS.Turist.143, хотя на 90% - его рук дело.

Уважаемый(ая) [B]Antma[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Ничего плохого логи не показывают

А это?
C:\Windows\System32\MifofomlJLohdj.exe

Упс, прошу прощения, пропустил :(

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\MifofomlJLohdj.exe','');
DeleteFile('C:\Windows\System32\MifofomlJLohdj.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Карантин прислал, но, как я понял, он пустой.
Компьютер продолжает дурить...

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Логи MBAM и RSIT.

Плохого не видно

Меня смущают строчки из лога AVZ, их раньше не было:
Функция wininet.dll:InternetAlgIdToStringA (250) перехвачена, метод APICodeHijack.JmpTo[617F1041]
Функция wininet.dll:InternetAlgIdToStringW (251) перехвачена, метод APICodeHijack.JmpTo[617F1149]

И огромное кол-во замен, их тоже столько не было:
Маскировка процесса с PID=420, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 420)

Плюс ко всему:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Users\Maksim\AppData\Local\Temp\mcse32_00.dll --> Подозрение на Keylogger или троянскую DLL

Ничего опасного в этих записях

Спасибо!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]