Сделал логи!!! Посмотрите

[тм1]

http://exfile.ru/149765 АVZ http://exfile.ru/149769 Hijack Проблема в том что интернет не открывает многие сайты.

[goredey]

тм1, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[
Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Обязательно обновите базы!!!

http://webalta.ru сами устоналивали в качестве стартовой страницы?
+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[тм1]

Цитата:

Сообщение от goredey

тм1, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 ExecuteRepair(20);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[
Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Обязательно обновите базы!!!

http://webalta.ru сами устоналивали в качестве стартовой страницы?
+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Сделал,как вы указали. Второй стандартный скрипт http://http://exfile.ru/150419 Обновил базы. http://webalta.ru Сам не устанавливал.http://http://zalil.ru/30334192http://http://zalil.ru/30334199

[goredey]

тм1, перезалейте логи.не могу открыть

[тм1]

Цитата:

Сообщение от goredey

тм1, перезалейте логи.не могу открыть

Второй стандартный скрип http://exfile.ru/150463

http://exfile.ru/150465 http://exfile.ru/150466

[goredey]

тм1,
Пофиксить в HijackThis следующие строчки

Код:

 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Что с проблемами?

[тм1]

Цитата:

Сообщение от goredey

тм1,
Пофиксить в HijackThis следующие строчки

Код:

 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.


Что с проблемами?

Сделал Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5525

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

15.01.2011 21:44:54
mbam-log-2011-01-15 (21-43-18).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Просканированные объекты: 197717
Времени прошло: 1 часов, 33 минут, 32 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 3
Объекты реестра заражены: 1
Заражённые папки: 0
Заражённые файлы: 2

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\RECYCLER\s-1-5-21-1085031214-682003330-839522115-1004\Dc13.exe (Trojan.Dropper) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

[goredey]

тм1, что с проблемами? Удалите
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\RECYCLER\s-1-5-21-1085031214-682003330-839522115-1004\Dc13.exe (Trojan.Dropper) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

Поменяйте пароли, в системе присутствовал червь ворующий их

[тм1]

Цитата:

Сообщение от goredey

тм1, что с проблемами? Удалите
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\RECYCLER\s-1-5-21-1085031214-682003330-839522115-1004\Dc13.exe (Trojan.Dropper) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

Поменяйте пароли, в системе присутствовал червь ворующий их

Мне почему-то не найти обьекты которые надо удалить.сайты которые не открывались стали открываться спасибо Вам большое за помощь.Как мне найти эти зараженные файлы смотрел в редакторе реестра ничего нет и через поиск тоже? Какие пороли поменять?

[goredey]

Запустите заново Malwarebytes' Anti-Malware , при окончании сканирования они появятся. Их и удаляйте.
Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\RECYCLER\s-1-5-21-1085031214-682003330-839522115-1004\Dc13.exe (Trojan.Dropper) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

Цитата:

Сообщение от тм1

Какие пороли поменять?

Все ваши пароли. Ну если есть))

---------- Добавлено в 00:06 ---------- Предыдущее сообщение было написано в 00:05 ----------

И если проблем больше нет, то Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

[тм1]

Спасибо большое за помощь все работает.Еще один вопрос,что делать чтобы такое не повторялось? Может периодически сканировать какой-нибудь программой кроме антивируса?

[goredey]

тм1, Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Всегда работайте только под обычным пользователем!
2.Используйте браузер Firefox с дополнением NoScript
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте обновления и патчи Windows.
4.Ежедневно обновляйте антивирусные базы.
5.Никогда не устанавливайте два антивируса или сетевых экрана (файрвол).