http://www.google.com пишется в стартпэйдж.

[MDA]

Извиняюсь, видел, что такие же проблеммы были на этом форуме уже освещены, но я так понял, что тот скрипт, который помог другим, может и не помочь мне..) короче, у меня в IE в стартовую страницу пишется http://www.google.com, очищаешь, после перезапуска броузера, опять тоже...в реестре чистил, что нашел(поиск по "google"), так же Yahoo! был, но тот вроде совсем убился,из реестра.
Антивирь Trend Micro PC-Cillint ничего толкового не нашел.
Помогите, пожалуста.

[Numb]

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\update13428241.exe','');
QuarantineFile('C:\Documents and Settings\D&A\~tmp0374.exe','');
QuarantineFile('C:\WINDOWS\system32\protector.exe','');
QuarantineFile('C:\tmp.rar','');
QuarantineFile('C:\WINDOWS\inet20126\free.exe','');
QuarantineFile('C:\WINDOWS\inet20126\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntio256.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
 QuarantineFile('C:\Program Files\Wallpaper Changer\wpchan.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
 QuarantineFile('C:\Program Files\system101\system101.dll','');
 QuarantineFile('C:\WINDOWS\inet20126\13074850.dll','');
 QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
 QuarantineFile('C:\WINDOWS\system32\kdaxhp.dll','');
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки пришлите карантин AVZ, как напиcано в прил.2 правил
Удалите лишние строчки из файла Hosts, как написано здесь. И лог исследования системы (п. 10 правил) к теме добавьте, пожалуйста.

[Geser]

ПОздравляю. Класно нахватались.
Выполнить скрипт, содержимое карантин прислать по правилам

Код:

begin
SearchRootkit(true, true);
ClearHostsFile;
 QuarantineFile('C:\Program Files\Wallpaper Changer\wpchan.dll','');
 QuarantineFile('C:\WINDOWS\inet20126\13074850.dll','');
 QuarantineFile('C:\WINDOWS\system32\rpcc.dll','');
 QuarantineFile('C:\WINDOWS\inet20126\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\inet20126\svchost.exe','');
 QuarantineFile('C:\WINDOWS\inet20126\free.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\16411468.exe','');
 QuarantineFile('\??\C:\WINDOWS\system32\ntio256.sys','');
 QuarantineFile('C:\WINDOWS\system32\kdaxhp.dll','');
 QuarantineFile('C:\WINDOWS\system32\ipv6mons.dll','');
 QuarantineFile('C:\Program Files\system101\system101.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
QuarantineFile('C:\tmp.rar','');
RebootWindows(true);
end.

[MDA]

архив карантина и архив-лог исследования системы скинул. се выполнил, вот только google.com остался... такая же фигня...перезапускаю IE и он тут как тут..Что делать? а мож форматировать?

ЗЫ:QuarantineFile('C:\Program Files\Wallpaper Changer\wpchan.dll','');
а этот че, тож в подозрении?вроде програмулина хорошая и усе..

[Alex Plutoff]

... google.com остался... такая же фигня...перезапускаю IE и он тут как тут..Что делать? а мож форматировать?

ЗЫ:QuarantineFile('C:\Program Files\Wallpaper Changer\wpchan.dll','');
а этот че, тож в подозрении?вроде програмулина хорошая и усе..

-мы пока только изучаем Вашу систему и те скрипты которые были предложены не должны были решить проблему, так что наберитесь терпения и ждите

[Alex Plutoff]

-многое из присланного является вредоносным, посему, выполните этот скрипт, при этом не жмите Reset, а дождитесь пока Ваш ПК перезагрузится сам:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('\??\C:\WINDOWS\system32\ntio256.sys');
 DeleteFile('C:\WINDOWS\system32\protector.exe');
 DeleteFile('C:\WINDOWS\system32\rpcc.dll');
 DeleteFile('C:\WINDOWS\TEMP\16411468.exe');
 DeleteFile('C:\WINDOWS\system32\kdaxhp.dll');
 DeleteFile('C:\WINDOWS\system32\ipv6mons.dll');
 DeleteFile('C:\Program Files\system101\system101.dll');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
 DeleteFile('C:\tmp.rar');
 DeleteFile('C:\WINDOWS\inet20126\free.exe');
 DeleteFile('C:\WINDOWS\inet20126\free.exe.bak');
 DeleteFile('C:\WINDOWS\inet20126\svchost.exe');
 DeleteFile('C:\WINDOWS\inet20126\winlogon.exe');
 DeleteFile('C:\WINDOWS\inet20126\13074850.dll');
 DeleteFile('C:\WINDOWS\inet20126\mmx717.exe');
 DeleteFile('C:\WINDOWS\inet20126\mmx832.exe');
 DeleteFile('C:\WINDOWS\inet20126\mmx880.exe');
 DeleteFile('C:\WINDOWS\inet20126\services.exe');
 DeleteFile('C:\WINDOWS\inet20126\svchost.exe');
 DeleteFile('C:\WINDOWS\inet20126\svchost.exe.bak');
 DeleteFile('C:\WINDOWS\inet20126\winlogon.exe');
 DeleteFile('C:\WINDOWS\inet20126\syswin.exe');
 DeleteFile('C:\WINDOWS\inet20126\syswin.exe.bak');
 DeleteFile('C:\WINDOWS\inet20126\wpcem.exe');
ExecuteSysClean;
RebootWindows(true);
end.

...повторите логи после перезагрузки ПК, посмотрим что у нас получилось.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\all users\\документы\\settings\\partnership.dll - Trojan-Proxy.Win32.Xorpix.ar (DrWEB: BackDoor.Uragan)
  2. c:\\program files\\system101\\system101.dll - Trojan-Spy.Win32.Agent.qc (DrWEB: Trojan.Spyblock)
  3. c:\\tmp.rar - Trojan-Clicker.Win32.Agent.hz (DrWEB: archive: Trojan.Daugeru)
  4. c:\\windows\\system32\\ipv6mons.dll - Trojan-Spy.Win32.BZub.hx (DrWEB: Trojan.PWS.Tanspy)
  5. c:\\windows\\system32\\kdaxhp.dll - Trojan.Win32.Agent.pk (DrWEB: Trojan.Qhost.45065)
  6. c:\\windows\\system32\\ntio256.sys - Rootkit.Win32.Agent.cf (DrWEB: Trojan.Sklog)
  7. c:\\windows\\system32\\protector.exe - Trojan-Proxy.Win32.Wopla.ac (DrWEB: Trojan.Sklog)
  8. c:\\windows\\system32\\rpcc.dll - Trojan-Proxy.Win32.Dlena.bc (DrWEB: Trojan.Spambot)
  9. c:\\windows\\temp\\16411468.exe - Trojan.Win32.Agent.zq (DrWEB: Trojan.DownLoader.17954)