Rostelecom.ru; vkontakte.ru; (sms); svchost.exe 50% ЦП; Баннер...

[kefirlol]

В firefox каждая страница браузера перенаправляется на сайт rostelecom.ru с сообщением об отправки смс и получения резервного канала.
На сайте вконтакте перенаправление не происходит, но требуется смс для входа...
Иногда вверху браузера висит баннер с сообщением, что якобы у вас вирус и нужно обновить браузер.
Через раз браузеры косячат и вместо страницы вообще выдают исходный код страницы...
При включении компа висит процесс svchost.exe который грузит ЦП на 50% и запущен от администратора...

[Info_bot]

Уважаемый(ая) kefirlol, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[kefirlol]

Заранее спасибо!

[polword]

1.Профиксите в HijackThis

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\ShadowFlame\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (file missing)

2.Отключите Системное восстановление!!! как- посмотреть можно тут
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
  QuarantineFile('C:\systemhost\24FC2AE35E4.exe','');
 QuarantineFile('C:\Windows\jodrive32.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe','');
 QuarantineFile('C:\Windows\system32\owarcuj.dll','');
 DeleteFile('C:\Windows\system32\owarcuj.dll');
 DeleteFile('C:\Windows\jodrive32.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Config Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Config Setup');
 DeleteFile('C:\systemhost\24FC2AE35E4.exe');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F2EXHWG2HN');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F2EXHWG2HN');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\igfxtray.exe');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Сделайте лог MBAM

[kefirlol]

Карантин прислал, получили?
Вот логи...
Изменения: svchost.exe грузящий систему пропал, вконтакте не требует смс, перенаправления на ростелеком не происходит.
Баннер в браузере не пропал...

[kefirlol]

И еще страничка с вашими правилами (вроде только она) перенаправляет меня на zoneedit.com

[polword]

- Выполните скрипт в AVZ

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 ExecuteWizard('TSW',2,3,true);
 RebootWindows(true);
end.

После перезагрузки:
Пролечитесь так
- лог работы утилиты прикрепите к сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt

- Сделайте лог MBAM

[kefirlol]

Вот пожалуйста, лог MBAM.
Прошу ответьте поскорее, чтобы знать, что удалять.

[kefirlol]

Вот, скрипт выполнил, той прогой просканировал, ничего не нашло, но баннера вроде нет больше

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\s-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe', 'MBAM: Trojan.Agent');
QuarantineFile('c:\Users\администратор\AppData\Roaming\34D5.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('c:\Users\администратор\AppData\Roaming\7003.tmp', 'MBAM: Trojan.Agent');
QuarantineFile('c:\Users\администратор\downloads\kb909241x', 'MBAM: 2');
QuarantineFile('c:\Users\администратор\downloads\kb909241x', 'MBAM: 3');
QuarantineFile('c:\Users\администратор\downloads\kb909241x.exe', 'MBAM: Hoax.ArchSMS');
QuarantineFile('d:\downloads\программы\bestmkvplayer.exe', 'MBAM: Hoax.ArchSMS');
QuarantineFile('d:\system volume information\_restore{638fc357-9e1a-4630-a724-0e43e8503efd}\RP41\A0014270.exe', 'MBAM: Malware.Packer.Gen');
QuarantineFile('c:\Windows\inf\mdmcpq3.PNF', 'MBAM: Rootkit.TmpHider');
QuarantineFile('c:\Windows\inf\mdmeric3.PNF', 'MBAM: Rootkit.TmpHider');
QuarantineFile('c:\Windows\inf\oem6C.PNF', 'MBAM: Rootkit.TmpHider');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

d:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
d:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
d:\комп 60\GETMAN\44\INSTALL\ACDSee\TNT-ACD3\tnt-acdsee.v3.0.b1209_crk.exe (Trojan.Agent.CK) -> No action taken.
d:\комп 60\GETMAN\GET1\работа\новая папка\WinRar 2.80\Crack\Other\wi_wdr280b5.exe (RiskWare.Tool.CK) -> No action taken.
d:\комп 60\GETMAN\GET1\работа\новая папка\WinRar 2.80\Crack\Other\wi_wr280b5.exe (RiskWare.Tool.CK) -> No action taken.
d:\комп 60\GETMAN\старый комп\GAME\INSTALL\ACDSee\TNT-ACD3\tnt-acdsee.v3.0.b1209_crk.exe (Trojan.Agent.CK) -> No action taken.
d:\ЮРИК\май2\проги раб стол\рабочий стол\KEYGEN\keygen tsrh\Keygen.exe (Malware.Packer.Gen) -> No action taken.
d:\program files\alcohol soft\alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> No action taken.
d:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены