Вирусы - блокировка с сайтом zonetech.info

[amrus]

Здравствуйте!
Avast постоянно выдает что заблокировано соединение с сайтом zonetech.info. При этом фиксирует разные exe-ки. Также они появляются во временных директориях и в windows/system32, он их удоляет, но все бесполезно...
Проверил компьютер с помощью CureIt в безопасном режиме, но после перезагрузки все повторилось...

[Шапельский Александр]

Сделайте лог MBAM.

[amrus]

Готов лог mbam.

[Шапельский Александр]

Удалите в MBAM

Код:

Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Adware.Ecobar) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> No action taken.

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-8513592120-2560999470-546316905-3064\wmfcgr.exe,explorer.exe,) Good: (Explorer.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.

Заражено файлов:
C:\Program Files\IEToolbar404\find404.com search engine\tbhelper.dll (Adware.Ecobar) -> No action taken.
C:\RECYCLER\S-1-5-21-8513592120-2560999470-546316905-3064\wmfcgr.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\117.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\097.exe (Trojan.Buzus) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\SFYK26YT\404[1].exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temporary Internet Files\Content.IE5\SFYK26YT\nemexp[1].exe (Trojan.Buzus) -> No action taken.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> No action taken.
C:\Program Files\Total Commander\Utils\SFX Tool\Upack.exe (Malware.Packer) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.

Сделайте лог MBAM

[amrus]

Повторил...

[Шапельский Александр]

Удалите в MBAM

Код:

Заражено файлов:
C:\Documents and Settings\admin\Local Settings\Temp\601.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\678.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\154.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\048.exe (Adware.Agent) -> No action taken.
C:\Documents and Settings\admin\Local Settings\Temp\657.exe (Adware.Agent) -> No action taken.

Сделайте комплект логов (АВЗ, Hijack) и лог MBAM

[amrus]

Удалил exe-ки, перезагрузил, и сделал новый лог MBAM.

[Шапельский Александр]

В логе чисто, что с проблемой?

[amrus]

Не заметил...
Еще сделал Hijeck, но не понял что такое AB3?

[Шапельский Александр]

но не понял что такое AB3?

--Антивирусная утилита AVZ
Проблемы решены?

[amrus]

Сделал логи AVZ (видимо это и есть АВЗ).
Установил обновления на винду.
Больше Avast ни на что не жалуется...
Что с логами, есть ли рекомендации?

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelCLSID('1BB22D38-A411-4B13-A746-C2A4F4EC7344');
 DelCLSID('FCBCCB87-9224-4B8D-B117-F56D924BEB18');
 QuarantineFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll','');
 QuarantineFile('C:\DRIVERS\ATI\For XP\driver_vtuner.exe','');
 QuarantineFile('C:\DISTRIB\Kaspersky\key_2009-06-11.rar','');
 QuarantineFile('C:\DISTRIB\Kaspersky\key 2009-06-11\KasperskyTrialReset.rar','');
 DeleteFile('C:\DISTRIB\Kaspersky\key 2009-06-11\KasperskyTrialReset.rar');
 DeleteFile('C:\DISTRIB\Kaspersky\key_2009-06-11.rar');
 DeleteFile('C:\Program Files\IEToolbar404\find404.com search engine\mod_find404_finaaaaaal.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 2 Диагностики и новый лог прикрепите к новому сообщению.

[amrus]

Карантин отправил. Только до этого успел удалить файл driver_vtuner.exe, сорри.
Запрошенный лог прикрепил.

[Шапельский Александр]

В логе чисто, проблемы решены?

[amrus]

Больше Avast не жалуется, ошибок ни каких не возникает...
Спасибо огромное Shapel!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\distrib\kaspersky\key 2009-06-11\kasperskytrialreset.rar - Trojan.Win32.Rettesser.a ( DrWEB: archive: Trojan.Siggen.5986, BitDefender: Gen:Packer.RLPack.D.GiWaaeF31oaG )
  2. c:\distrib\kaspersky\key_2009-06-11.rar - HackTool.Win32.Kiser.cs ( DrWEB: archive: archive: Trojan.Siggen.5986, BitDefender: Trojan.Generic.2724162 )