Аналогичная проблема (http://forum.oszone.net/thread-167953.html) Вчера вечером видно зашел на какой-то сайт, после чего антивирус стал выдавать сообщения что адрес заблокирован.
http://s003.radikal.ru/i204/1002/03/89f18468cb16t.jpg (http://radikal.ru/F/s003.radikal.ru/i204/1002/03/89f18468cb16.jpg.html)

Заблокировал в файрволе этот ip, сообщения исчезли) А на антивирусные сайты не заходит. Помогите удалить заразу...Антивирус ничего не находит. Сам вручную нашел в папке system32 2 странных файла, пусто набор символов exe файлы. Стер их, не помогло...
P.S. Сам ESET не хочет обновляться с офф. сайта. Выдает ошибку.

Прощу прощения, по инструкции сделать ничего не могу, потому что из-за вируса мне эти файлы не скачать...

chrom-look, Скачайте AVZ из моей подписи. И сделайте логи.

Далее

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

При удалении МБАМ - смотрите что удаляете.

Вот логи AVZ.

Залейте плиз Malwarebytes Anti-Malware на депозит или другой обменник, потому что мне не скачать его тоже.

Лог HijackThis где ?

Залейте плиз Malwarebytes Anti-Malware на депозит или другой обменник, потому что мне не скачать его тоже. »
Вот Скачать (http://depositfiles.com/files/l80rlsbtg)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(false);
end.


Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Базы ни автоматом ни так не скачать. Не открывается сайт. Скиньте тоже куданибудь :)

Лог HijackThis где ?

Базы не автоматом ни так не скачать. »
МБАМ ? делайте пока так без обновления .


А потом Gmer .

Hijack лог.

Поставил на проверку МБАМ, о результатах скажу позже.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32755e7d21.exe,\?g lobalrootsystemrootsystem32YoC4q0q.exe,
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - (no file)
O4 - HKLM\..\Run: [Generic Host for Win32 Services] ‘| б—|к‘|ь2
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)



• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\755e7d21.exe','');
DeleteFile('C:\WINDOWS\system32\755e7d21.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
ExecuteRepair(20);
RebootWindows(true);
end.


После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Да погодите вы...Что мне сначала сделать то? Сейчас у меня идет проверка МБАМом, что делать после этого???

chrom-look, Привет. :) Сейчас у меня идет проверка МБАМом, что делать после этого??? »Потом лог Gmer
А потом Gmer . »А потом советы из комментария 8 (http://www.forum.oszone.net/post-1352042-8.html)

Ок, ясно. Также хочу сказать, что искал утром как побороть эту заразу, нашел на каком-то сайте, что должны быть файлы в system32, и тот файл который в скрипте: "C:\WINDOWS\system32\755e7d21.exe" я его уже удалил, правда еще лежит в корзине. Мне его восстановить и проделать опперацию? Потом нашел файл в папке Prefetch под названием "ROUTE.EXE-371D32DE.pf". Его тоже удалил. Также был ехе файл в систем32: YoC4q0q.exe...

chrom-look, Вы сделаете лог gmer и все проблемные файлы мы увидим, не переживайте. Отпустим живого и здорового. :)

chrom-look, Делайте всё по порядку . Не нужно перескакивать, а то и сами запутаетесь и нас запутаете. ))

МБАМ лог

Удалите в МВАМ (http://virusinfo.info/showpost.php?p=493584&postcount=2)
Заражено ключей реестра:
HKEY_CLASSES_ROOT\connectionservices.connectionservices (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\connectionservices.connectionservices.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d7b211a-88ea-490c-bab9-3600d8d7c503} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Trojan.BHO) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\generic host for win32 services (Trojan.Agent) -> No action taken.

Заражено папок:
C:\Program Files\ConnectionServices (Trojan.BHO) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Денис\Мои документы\Хлам\Для сайтов (взлом)\XRumep3\XRumep3\XRumep 3\control.exe (Trojan.FakeAlert) -> No action taken.
C:\Program Files\ConnectionServices\Uninstall.exe (Trojan.BHO) -> No action taken.
C:\Program Files\ConnectionServices\Содержание OneNote.onetoc2 (Trojan.BHO) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

да я уже все стер как мне сказали в посте на 1ой странице. Сейчас 4 часа длится проверка прогой GMER. Перед ней я выполнил скрипт в AVZ, после которого у меня все заработало! Антивирус обновился, на сайты заходит, файлы качает.

chrom-look, Это нужно для страховки, потому что в первых логах есть такая строка. А это kido.
>>> Подозрение на маскировку ключа реестра службы\драйвера "dutdccdcz"

я понял)) Долго проверяется, наверно завтра вам отпишусь что с Gmer'ом и проделаю остальные операции!

Вообщем манипуляции с Gmer'ом не увенчались успехом... 2 раза у меня вырубался комп, на 3ий раз (проверка длилась 9 часов), чтобы комп не вырубился я решил сделать в безопасном режиме. Была одная красная строка, связанная с svchost.exe. Лог сохранить не смог так как был в безопасном режиме... Щас сделал побыстрому, вот минилог, тут есть эта строка.
Приступаю к дальшейшим советам...

Пофиксил 2 ключа в HiJackThis, 1ый и последний, второго и третьего не было.