Браузеры после вируса

Перейдем сразу к сути проблемы,
Попался однажды на вирус "вымогатель", который требует отправить смс.
Вроде бы благополучно избавился от него, введя код, НО перестали работать некоторый важные проги, в том числе и браузеры (Опера, мозилла, IE) (работает только Google chrome, с которого я сейчас и пишу) Возможно проблема в том, что после ввода кода, я запустил проверку антивирусом, и он как морской пехотинец, вырезал в одиночку около 20 (возможно важных)файлов в папке Windows.
Логи имеются.

PS. Я новичок на данных форумах, поэтому прошу объяснить что происходит внятно и "по слогам"
PSS. Если написал что то неправильно, просьба строго не судить и поправить меня.

[B]virusinfo_cure.zip [/B] - это карантин, уберите из вложений

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O21 - SSODL: WebCheck - {FF4EC53A-CA51-9A39-6CDD-5FFB26FB445C} - overlapp32.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Папа\Local Settings\Temp\~DF8C61.tmp','');
QuarantineFile('C:\WINDOWS\system32\overlapp32.dll','');
QuarantineFile('C:\WINDOWS\system32\nldk.yxo','');
DeleteFile('C:\WINDOWS\system32\nldk.yxo');
DeleteFile('C:\WINDOWS\system32\overlapp32.dll');
DeleteFile('C:\Documents and Settings\Папа\Local Settings\Temp\~DF8C61.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- [B]Обновите базы[/B]

- Повторите логи [B]virusinfo_syscure.zip [/B] и [B]virusinfo_syscheck.zip [/B]

Сделал всё как вы просили

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]

Обязательно делать полное сканирование, да? Просто с такой скоростью скана, я выложу логи только к завтрашнему дню) уже пол часа стоит и проверил только 100к объектов

Обычно ему нескольких часов максимум хватает, лучше подождать. Без лога MBAM есть вероятность упустить что-либо.

Вообщем он закончил, нашел 34 вируса. В том числе и прога AVZ) Вопрос: их всех удалять или оставить?

Просто прикрепите лог к следующему сообщению, удалять не надо пока ничего.

Вот. Ничего не удалил.

и тишина)

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в MBAM[/URL] -

[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{b87b54f6-7cd5-45b2-b873-3f95c558768a} (Trojan.BHO) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Not selected for removal.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Not selected for removal.

Зараженные параметры в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Not selected for removal.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Not selected for removal.

Зараженные файлы:
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Not selected for removal.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Not selected for removal.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> Not selected for removal.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> Not selected for removal.
C:\Documents and Settings\Proffi\Local Settings\Temp\mscass.exe (Trojan.Agent) -> Not selected for removal.
[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
if FileExists('C:\WINDOWS\System32\dllcache\sfcfiles.dll')then
begin
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.bak','');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
end else
AddToLog('dllcache\sfcfiles.dll does not exist');
SaveLog(GetAVZDirectory + 'avz.log');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Файл [B]avz.log[/B] из папки АВЗ прикрепите к следующему сообщению.

А можно как то открыть историю в МВАМ? Просто комп перезагружал и само собой этот список, где выделять зараженные файлы пропал. Или подскажите как их удалить вручную)

Вам всё равно бы пришлось лог повторять, поэтому давайте так - сначала выполните скрипт в АВЗ, закачайте карантин, прикрепите файл [B]avz.log[/B] из папки АВЗ к следующему сообщению, потом ещё скан MBAM и там удалите всё что я написал.

Карантин - выходит пустой архив.

Возьмите файл у меня из вложений, распакуйте и поместите в папку [B]C:\WINDOWS\System32\dllcache[/B], после чего опять выполните скрипт в АВЗ из сообщения №11, и опять же - прикрепите файл [B]avz.log[/B] из папки АВЗ к следующему сообщению

Всё, нашел. Сейчас выложу

Поместите в любое, удобное для Вас место, но напишите сюда полный путь - я поправлю скрипт.

Спасибо, но я понял уже в чем была моя ошибка)
Вот

Так, с этим разобрались. Теперь заключительная часть - новый лог MBAM. Не забудьте - [QUOTE]Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.[/QUOTE]

Эхх.. он так медленно грузит) ну ок, ща будет)

Вот сделал еще раз. Сейчас удалю файлы которые вы писали.
А насчет карантина - я отправил

Спасибо тебе, браузеры заработали. А также система безопасности Windows разблокировалась) Спасибо еще раз) без тебя бы не справился

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 39 минут[/I][/B][/color][/size]

Мда.. как говорится не стоит рано радоваться..
Теперь новая проблема:
Касперский постоянно находит trojan.win32.patched.fr
и само собой бесконечно перезагружает систему =\

В каком файле находит?

С:\WINDOWS\system32\mssfc.dll

Сделайте логи АВЗ.

опять логи... =\
Вот нашел на сайте касперского:
[B]Рекомендации по удалению[/B]
Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Удалить файл:
%System%\mssfc.dll
Удалить ключ (системного реестра):
[HKLM\SOFTWARE\Settings]
Может быть это удаление реестра поможет?

Если уж сильно не хотите логи делать, можно и так. Но если возникнут проблемы - лучше к нам по логам. Могу сказать, что этот файл не был ни в одном из логов идентифицирован как подозрительный. Проверьтесь полностью утилитой [URL="http://www.freedrweb.com/cureit/?lng=ru"]CureIt![/URL], либо [URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/setup_9.0.0.722_05.08.2010_15-32.exe"]AVPTool[/URL]

Спасибо за оперативную помощь) попытаюсь что нибудь сделать)

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\nldk.yxo - [B]Trojan.Win32.Fregee.e[/B] ( DrWEB: Trojan.Siggen.48405, BitDefender: Trojan.Generic.3081281, NOD32: Win32/Oficla.CS trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\overlapp32.dll - [B]Trojan-Spy.Win32.Hascha.hm[/B] ( DrWEB: Trojan.PWS.Ibank.20, BitDefender: Trojan.Generic.2998124, NOD32: Win32/Spy.Delf.OAH trojan, AVAST4: Win32:Spyware-gen [Spy] )[*] c:\windows\system32\sfcfiles.bak - [B]Trojan.Win32.Patched.fr[/B] ( DrWEB: Trojan.WinSpy.557, BitDefender: Gen:Variant.Patched.1, AVAST4: Win32:Patched-KP [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]