Небольшие странности

Здравствуйте!

Особо страшных проблем на компе, вроде, нет. Есть две странности:

1. Не могу зайти на почту Yahoo - пишет "страница не найдена", хотя с другого компа захожу без проблем.
2. Постоянно подвисает аська - если есть сообщение, отправленное в мое отсутствие.

Просканировал систему и курит, и каспером - ничего. Прогонял и АВЗ и ГМЕР - ничего страшного не нашли (АВЗ ругнулся на какой-то файл *.msi, но это, похоже, от Йоты). Если не трудно, посмотрите, плиз, логи, нет ли какой заразы?

Вроде, сделал все по правилам.

Заранее, большое спасибо.

еще - забыл: в списке процессов иногда появляется еще один iexplorer, хотя открыт только один...

[B]Выполните скрипт в AVZ[/B] (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\drivers\rk_remover.sys','');
DeleteService('rk_remover');
QuarantineFile('C:\WINDOWS\system32\Drivers\LBeepKE.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\KMWDFilter.SYS','');
QuarantineFile('C:\DOCUME~1\8175~1\LOCALS~1\Temp\mbr.sys','');
QuarantineFile('C:\WINDOWS\system32\ramdmm.dll','');
DeleteFile('C:\DOCUME~1\8175~1\LOCALS~1\Temp\mbr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\rk_remover.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(13);
BC_DeleteSvc('rk_remover');
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).

Повторите логи.

Скрипт выполнил. Карантин выслал, логи прикрепляю.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: ramdmm - ramdmm.dll (file missing)
[/CODE]
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- [URL="http://virusinfo.info/showthread.php?t=7660"]Очистите[/URL] файл [B]hosts[/B].
- Повторите в точности действия, описанные в пп.2 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

Пофиксил "O20 - Winlogon Notify: ramdmm - ramdmm.dll (file missing)",
но после перезагрузки эта строчка опять появляется.

Bonjour, вроде бы, давно уже удалил. На всякий случай выполнил скрипт в АВЗ.

Чистил с помощью АВЗ - появились две красные строчки:

>>>Для удаления файла C:\Documents and Settings\Рах\Local Settings\History\History.IE5\MSHist012009082420090825\index.dat необходима перезагрузка
>>>Для удаления файла C:\Documents and Settings\Рах\Cookies\index.dat необходима перезагрузка
ffff

После перезагрузки опять то же самое.

Файл hosts удалось очистить только вручную - скрипт в АВЗ не помог.

Логи по п.п. 2-3 прилагаю.

На всякий случай проверил - почта Yahoo так и не открывается

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: ramdmm - C:\WINDOWS\
[/CODE]
Сделайте очистку системы этим: [url]http://virusinfo.info/showpost.php?p=435039&postcount=2[/url] , установите ClearAll.
Если после перезагрузки будут сомнения - повторите логи по п. 2 и 3 Диагностики.

Строчку
"O20 - Winlogon Notify: ramdmm - C:\WINDOWS\"
пофиксил, но, после перезагрузки она опять появляется - может быть, я что-то не так делаю? (запускаю HijackThis, нажимаю скан, потом ставлю галочку напротив этой строчки и нажимаю Fix. После этого перегружаю комп.)

Страшно ли это? Кстати, эта строчка не имеет отношения к Рам-Диску, который у меня установлен?

С почтой Yahoo вообще странно: когда работаю, как обычно, через Вай-Фай роутер - не открывается. Но если подключаюсь через Йоту - все нормально. Не могли они заблочить мой IP?

На всякий случай, опять высылаю логи.

забыл еще одну странность - из трея пропал значок центра безопасности Винды

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]

[size="1"][color="#666686"][B][I]Добавлено через 59 секунд[/I][/B][/color][/size]

[QUOTE=Allroad;454926]Кстати, эта строчка не имеет отношения к Рам-Диску, который у меня установлен?[/QUOTE]Нет.

[QUOTE=Allroad;454926]
забыл еще одну странность - из трея пропал значок центра безопасности Винды[/QUOTE]А у меня его там и не было никогда :)

[QUOTE]ramdmm[/QUOTE] пощите по реестру (АВЗ/Сервис/Поиск в реестре), если найдете - удалите ключ.
Потом -[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ExecuteRepair(7);
RebootWindows(true);
end.[/CODE]

АВЗ нашла несколько ключей - удалять все?

сделал лог ГМЕР

Строчку
O20 - Winlogon Notify: ramdmm - C:\WINDOWS\
опять пофиксил. Ключи все удалил, скрипт выполнил.

После перезагрузки:
Все ключи опять на месте, строчка тоже.

[QUOTE=Allroad;454947]сделал лог ГМЕР[/QUOTE]Вы на кнопку SCAN нажимали?

На кнопку Scan, вроде, нажимал. На всякий случай, переделал лог ГМЕР. Теперь нажал на Scan 100%.

Ничего подозрительного.
Сделайте все новые логи по правилам (gmer не надо).

Логи готовы.

C:\WINDOWS\Installer\1cacddf.msi - пришлите по правилам (приложение 2 и 3).

Карантин выслал. Мне казалось, что это файл от Йоты. По крайней мере, он появился у меня вместе с ней.

[QUOTE=Allroad;455158]Мне казалось, что это файл от Йоты. [/QUOTE]Возможно, по крайней мере он чистый.:)

Сделайте еще лог МБАМ [url]http://www.malwarebytes.org/mbam-download.php[/url]

Выполните скрипт, компьютер перезагрузится.
[CODE]begin
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки повторите логи.

Сделал лог MBAM, выкладываю:

Malwarebytes' Anti-Malware 1.40
Версия базы данных: 2691
Windows 5.1.2600 Service Pack 3
25.08.2009 5:31:12
mbam-log-2009-08-25 (05-31-12).txt
Тип проверки: Полная (C:\|D:\|E:\|M:\|)
Проверено объектов: 263367
Прошло времени: 44 minute(s), 35 second(s)
Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 3
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1
Заражено процессов в памяти:
(Вредоносные программы не обнаружены)
Заражено модулей в памяти:
(Вредоносные программы не обнаружены)
Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ramdmm (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\ramdma.sys (Trojan.Goldun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\ramdma.sys (Trojan.Goldun) -> Quarantined and deleted successfully.
Заражено значений реестра:
(Вредоносные программы не обнаружены)
Заражено параметров реестра:
(Вредоносные программы не обнаружены)
Заражено папок:
(Вредоносные программы не обнаружены)
Заражено файлов:
C:\WINDOWS\system32\ramdma.sys (Trojan.Goldun) -> Quarantined and deleted successfully.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Кстати, когда перешел по ссылке для скачивания MBAM, сначала не разобрался и скачал какой-то CyberDefender, запустил его, думая, что он и есть MBAN, и он нашел у меня несколько вирусов. Правда, просит купить, чтобы продолжить. Не знаете, стоит ли ему доверять или снести его?

Раз просит денег - сносите.