internet explorer/Svcnost.exe реклама в браузере

При заходе вконтакт появилось окошко с требованием отправить смс

После перезапуска браузера сначала стали появляться коды вроде

[CODE]var search = "продажа обслуживание оборудование изготовление пенобетон"; var data = [{ "url": "http://rupoisk.ru/xml/counter.php?link=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", "title": "Оборудование для пенобетона.", "desc": "Мобил. минизаводы для пенобетона! Опыт 9 лет! Спеццена!", "banner_url": "/3/4/151073134", "domain": "www.concret.ru - Ростов" },{ "url": "http://rupoisk.ru/xml/counter.php?link=YToxMjp7aTowO3M6NDQ5OiJodHRwOi8vY2xpY2swMi5iZWd1bi5ydS9jbGljay5qc3A/dXJsPVpXMlEyOC1IeHNkcDFMNy1YenV5R0xPUDhsckowc1RXS0tOY2RYYTlITDhKSHpNblVERmNTTnlFU1dYTjhoUnpvR09XamhGbWRKcFNtM2JhbDYyaWV2T2Q3ZG5sMXdHOVJSZ2FVYnlNQTlCcTcyZHg0WjFaMnp2UkRMUHdCZWZsUmNNWEI2c1ktNzc4bm53QTlTaENsWXdMaGZOZ0hlUEc0WHhIZkZRNjVYdDMtREt3Q3BaSmZPMUNlMGJLeTFxRFEzV1ZaWTAtWlZxeFc3YTlVSFg1VXV1T0w4RzVmUE5taDBRQ2g4MFJnSW0ybG5zMVp2UHFnamlOTm45dlluUWhRRkprKjBWS213VEtlRFljcnh3WFlRLVh3Q2trSHVKT2hxQzVKQ0tKbkw2elJEWEI4bmhVaUpZNzZkMklnS2w0ZmdKaVpUbypSUnBSem1neTM3U1dGV2FVaTltb2dncVFqbVN5RGxuOGFUYVB1dE55by01djk3OWFMY3ZEcmRJUk1ibWM5aWh2RTM5dzFVeC1HVEs0dHB5czVpcyI7aToxO2Q6MC4wNzE0MTk5OTk5OTk5OTk5OTQ1OTk4NzUyMDgyMjMyMzg1ODczNzk0NTU1NjY0MDYyNTtpOjI7aTozNTE0O2k6MztzOjU2OiLv8O7k4ObgIO7h8evz5uji4O3o5SDu4e7w8+Tu4uDt6OUg6Ofj7vLu4uvl7ejlIO/l7e7h5fLu7SI7aTo0O2k6MzkzMTtpOjU7czoxMjoiMTg4LjExNC4zNS41IjtpOjY7aToyNjQ3NzAxO2k6NztzOjEwOiIyMDA5LTExLTI4IjtpOjg7czo5MDoiaHR0cDovL3d3dy5uLXVyZW5nb3kucnUvc2VhcmNoLz9xPe/w7uTg5uAr7uHx6/Pm6OLg7ejlK+7h7vDz5O7i4O3o5Svo5+Pu8u7i6+Xt6OUr7+Xt7uHl8u7tIjtpOjk7aTo1MTtpOjEwO2k6MjU1O2k6MTE7czo2OiIyMTUwOTgiO30=", "title": "Продаешь оборудование?", "desc": "Тысячи объявлений о покупке на сайте Avito. Спешите!", "banner_url": "/8/3/154492583", "domain": "www.avito.ru - Ростов" }];[/CODE]
во вкладках браузера, потом автоматом стали открываться вкладки с рекламой и поисковые запросы на rupoisk.ru (например [url]http://rupoisk.ru/xml/?divis=3541&sub=3928&net=5084&host=volnov.org.ua&search=продаем+цемент&ip=188.114.35.5&limit=7&referrer=http%3A%2F%2Fwww.volnov.org.ua%2Fhistrev.php&version=3[/url])

Проверил CureiT
Svcnost определяется как
[url]http://www.virustotal.com/ru/analisis/4f8c8994c5e64abe0fc30ed0a3d9e2db6d1c1a68ccf0c30f076bd277ca1f3b68-1259439465[/url]

Есть ещё подозрение на Src=C:\windows\system32\winagent.exe
[url]http://www.virustotal.com/ru/analisis/0e205a4c9af42bdf3ba8ce1d735eab01c611f6549f5b804b69c34c37d39fd78a-1259439844[/url]

Не получается устранить
[CODE]9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME[/CODE]

После перезагрузки снова эти же проблемы.

Логи:

internet explorer/Svcnost.exe удалён. теперь вход вконтакт свободный.
только коды и всякая реклама в окнах браузера

Svcnost.exe тут
Файл сохранён как 091128_233704_vir_4b1189f095aed.zip
Размер файла 15205
MD5 5afd866fe0ec2053d457448f8c860c70

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Src=C:\windows\system32\winagent.exe

Файл сохранён как 091128_233917_2009-11-28_4b118a75bc32b.zip
Размер файла 51719
MD5 f5a04e03267ca16e6a091f71695c7cc7

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\windows\system32\winagent.exe','');
DeleteFile('C:\windows\system32\winagent.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Internet Agent');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл [B]quarantine.zip[/B] закачайте по ссылке [B][U][COLOR="Red"]прислать запрошенный карантин[/COLOR][/U][/B]. Сделайте новые логи

Карантин

Файл сохранён как 091128_234752_quarantine_4b118c7895122.zip
Размер файла 51892
MD5 0363095b86e661a68a2df107367e86ab

Логи чуть погодя... Коды в браузере и страницы с рекламой пропали

Логи

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\Program Files\Internet Explorer\smss.exe','');
DeleteFile('c:\Program Files\Internet Explorer\smss.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip закачайте по ссылке [U]прислать запрошенный карантин[/U]

Установите SP3, IE8 + все последние обновления

Сделайте новые логи

Логи

Карантин
Файл сохранён как 091129_183628_quarantine_4b1294fc46c7d.zip
Размер файла 12225 MD5 1e897b2bb462d5104a6d1bfeb5253626

В логах чисто.
[QUOTE='Venus Doom;519828']Установите SP3, IE8 + все последние обновления[/QUOTE]А это для Вас.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\internet explorer\smss.exe - [B]Trojan.Win32.Diamin.aor[/B] ( DrWEB: Trojan.Siggen.30515 )[*] c:\program files\internet explorer\svcnost.exe - [B]Trojan-Downloader.Win32.Agent.cwfw[/B] ( DrWEB: Trojan.DownLoad1.13732 )[*] c:\windows\system32\winagent.exe - [B]Backdoor.Win32.Buterat.as[/B] ( DrWEB: Trojan.Click.31902, AVAST4: Win32:Rootkit-gen [Rtk] )[/LIST][/LIST]