Проблема с Internet Explorer

[novivlad]

Здравствуйте! Большая просьба помочь восстановить работу IE.
Когда открываю его, то вместо главной страницы грузится какая-то реклама (на весь экран) :"SSEDIC - Building a Thematic Network for European eID" и далее просьба что-то загрузить или написать имэйл о присоединение к партнёрской программе. При введении в строке браузера любого сайта всё равно появляется эта картинка.
Отключал все приложения браузера - не помогло.
Проверял утилитой CureIt - что-то нашла, удалила, но браузер по прежнему не работает.
Антивирус NOD вообще ничего не нашёл
Большая просьба помочь. Инструкции по диагностике выполнил. необходимые файлы прилагаю.
Заранее большое спасибо!

[V_Bond]

160.80.212.80:80 - ваш прокси ?

[novivlad]

Похоже на мой. Извините, точно не знаю, но по моему этот прокси.
А IP определяется как "Ваш текущий IP-адрес: 62.221.85.99
Ваш хост: 99.85.221.62.dyn.idknet.com" Провайдер указан мой.

[novivlad]

Вот что ещё нашёл с сайта провайдера - может это поможет: "Серверы DNS 10.211.0.1, 10.211.0.5
217.19.208.18, 217.19.208.19

Диапазон динамических IP-адресов 217.19.208.0 - 217.19.223.255
80.94.240.0 - 80.94.255.255


77.235.96.0 - 77.235.127.255

62.221.64.0 - 62.221.127.255

95.153.64.0 - 95.153.127.255

Почтовый сервер SMTP mail.idknet.com

Почтовый сервер POP3 pop.idknet.com


Файловый сервер

ftp.idknet.com



WWW сервер


www.idknet.com

Добавлено через 8 минут

Странно... Может и ошибаюсь - практически все прокси Приднестровья начинаются с 212

Добавлено через 33 минуты

160.80.212.80:80 - ваш прокси ?

Сорри, ошибся в пред. сообщении. нет, это оказывается не мой прокси. Я погуглил и узнал, что это прокси Итальянский. Вот так сюрпризы!
Даю ссылку на источник инфо:http://www.ip-adress.com/Proxy_Detai...0:80:Anonymous

[V_Bond]

пофиксите

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 160.80.212.80:80

[novivlad]

Пробовал. Утилита фиксит, но всё остаётся по прежнему и когда снова сканирую этой-же утилитой - снова выдаёт строку с этим прокси.

[V_Bond]

выполните http://virusinfo.info/showthread.php?t=53070 + лог hijackthis

[novivlad]

выполните http://virusinfo.info/showthread.php?t=53070 + лог hijackthis

Сделал как вы сказали. Прикрепляю запрошенные файлы.

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\Onm.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\Onn.exe','');
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 QuarantineFile('C:\WINDOWS\system32\sshnas21.dll','');
 QuarantineFile('C:\Documents and Settings\star\Application Data\CMedia\CMedia.dll','');
 DeleteFile('C:\Documents and Settings\star\Application Data\CMedia\CMedia.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}');
 DeleteFile('C:\WINDOWS\system32\sshnas21.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters','ServiceDll');
 DeleteFile('%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job');
 DeleteFile('%windir%\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
 DeleteFile('C:\WINDOWS\TEMP\Onm.exe');
 DeleteFile('C:\WINDOWS\TEMP\Onn.exe');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

- удалите в MBAM оставшееся из этого

Код:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\UAYQDZP39B (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\UO8KTAT1GY (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Заражённые папки:
c:\documents and settings\star\application data\FieryAds (Adware.FieryAds) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{b818718c-b285-4c59-829b-2d3b05e42f83}\RP495\A0130134.exe (Backdoor.Agent) -> No action taken.
c:\documents and settings\star\application data\fieryads.dat (Adware.FieryAds) -> No action taken.
c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken.
c:\WINDOWS\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> No action taken.

- Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 160.80.212.80:80

- обновите базы AVZ
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)
- Сделайте повторный лог MBAM

[novivlad]

Всё сделал. Посылаю файлы. Обновить AVZ не удалось. Появляется надпись: " Ошибка в ходе автоматического обновления. Ошибка загрузки файла с описанием обновления avzupd.zip - файл повреждён"
Также при попытке загрузить файл quarantine.zip ваша система выдаёт, что данный файл уже был загружен.
Прикрепить письмом?

[polword]

Скачайте отсюда архив с новыми базами, распакуйте его. Удалите папку Base и скопируйте вместо неё разархивированную. Сделайте новые логи virusinfo_syscure.zip и virusinfo_syscheck.zip.

[novivlad]

Базы обновил. Новые логи высылаю.

[novivlad]

Извините, вот корректные логи

[regist]

novivlad, - Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении.

[novivlad]

Файл сохранён как 110120_223125_virusinfo_files_PCNET_4d388d8dd4f4f. zip
Размер файла 1427097
MD5 f56fc8ee5fc2078d0440aafed7324316
Вот. Также оставил подобное сообщение на той странице на которую вы ссылались.

[polword]

Архив 110120_223125_virusinfo_files_PCNET_4d388d8dd4f4f. zip, загружен 20.01.2011 23:00:15, размер 1427097 байт
Всего файлов: 5 (исполняемых 5), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 1
обычный приоритет: 3

что с проблемой?

[novivlad]

Увы, пока без изменений. IE по прежнему при любом запросе грузит одну и ту же страницу. Я вчера, когда выискивал чей это прокси, то выяснил какой именно организации он принадлежит - по иронии это исследовательская лаборатория в области компьютерных технологий при одном институте Рима, Италия. А на их сайте та же эмблема, что и у меня блокирующая браузер. Если надо, могу прислать вам их данные - может вы список специальный ведёте зловредов всяких)
Да и ещё одна проблема: при поиске (когда случайно в строке браузера ошибочно что-то вводишь) поиск перенаправляется на небезизвестную WebAlta.

[novivlad]

Может что-то ещё сделать? Или IE не излечим?

[novivlad]

Я извиняюсь, может что-то ещё сделать для устранения проблемы?

[polword]

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('ujic.sys','');
 DeleteFile('ujic.sys');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscure.zip