С месяц назад поймал СМС информер, в безопасном режиме его удалил, но после этого перестало пускать на сайты местные, например sespel.ru(сайт кинотеатра), сегодня нужно было зайти на сайт drweb.com, и не смог, перепробывал все сайты антивирусов, ни на один не смог зайти. При логах висел Nod32, так как 4 не дает возможность выгрузить себя. CureIt не нашел ничего кроме запускных файлов UServ(ФТП).
Файлы прикрепляю согласно правилам.

Здравствуйте, выполните скрипт


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\sega55~1.seg\locals~1\temp\espab76.tmp','');
DeleteFile('c:\docume~1\sega55~1.seg\locals~1\temp\espab76.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
комп перезагрузится

выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.


В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Пофиксите в HJT(http://virusnet.info/forum/showthread.php?t=9)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\W2mYXKr.exe,\\?\globalr oot\systemroot\system32\KR1e6BO.exe,\\?\globalroot\systemroot\system32\RPznnLh.exe,\\?\globalroot\sy stemroot\system32\aLXUSDo.exe,\\?\globalroot\systemroot\system32\bEDrdDE.exe,
O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
IP адреса ваши?
192.168.0.1 77.240.144.164,77.240.148.1

если нет, то профиксьте
O17 - HKLM\System\CCS\Services\Tcpip\..\{61340011-B32E-4C40-B65C-3D9E2278D428}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{81B8EF1A-2F5C-4636-B28B-26F39701A724}: NameServer = 77.240.144.164,77.240.148.1

Сделайте новые логи AVZ плюс лог RSIT
нимание !!! База поcледний раз обновлялась 21.08.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Не забудьте обновить базы перед тем, как будете делать новые логи!

Перед созданием повторных логов

1. Выполните скрипт в AVZ
begin
RegSearch('HKLM', '', 'espab76.tmp');
SaveLog(GetAVZDirectory + 'avz00.log');
end.
2. Файл avz00.log из папки AVZ прикрепите к сообщению
3. Новые логи сделайте полиморфным AVZ (ссылка в моей подписи)

Скрипты выполнил.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму(http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. »
Доступа к этому сайту нет. "Соединение закрыто удаленным сервером"

Пофиксил.
IP 192.168.0.1 бывший мой на второй сетевой.
77 DNS провайдера
БАзы не обновляютца так как выдает ошибку загрузки обновлений.

Скачал полиморфный AVZ. Скрипт не выполняетца выдает ошибку "Undeclared identifier: 'RegSearch' в позиции 2:10"
Прикрепляю новые файлы сделанные полиморфным AVZ.

Скрипт не выполняетца выдает ошибку "Undeclared identifier: 'RegSearch' в позиции 2:10" »Просьба скачивать полиморфный AVZ шла под номером 3, а скрипт под номером 1.

Не нужно заниматься самодеятельностью. Следует выполнять все в написанном порядке.
Выполните мой скрипт в обычном AVZ и прикрепите лог

Просьба скачивать полиморфный AVZ шла под номером 3, а скрипт под номером 1.
Не нужно заниматься самодеятельностью. Следует выполнять все в написанном порядке.
Выполните мой скрипт в обычном AVZ и прикрепите лог »
Виноват. Сори.

Выполните скрипт в AVZ
begin
QuarantineFile('C:\thumbs.db','');
DeleteFile('Netprotocol.sys');
DeleteFile('C:\thumbs.db');
RegKeyDel('HKLM', 'SYSTEM\CurrentControlSet\Control\Print\Providers\545F0BA6');
RegKeyDel('HKLM', 'SYSTEM\ControlSet002\Control\Print\Providers\545F0BA6');
RegKeyDel('HKLM', 'SYSTEM\ControlSet003\Control\Print\Providers\545F0BA6');
DeleteService('Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Проверьте доступ к сайтам

Сделайте новые логи

Скрипты выполнил, но доступа к сайтам так и нет.
quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. »
Из-за этого и отправить немогу.
Прикрепляю новые логи

Попробуйте команду:

Пуск – Выполнить - вввести route –f,
нажать ОК и перезагрузиться

А также

Выполните скрипт в AVZ
var
Lines : TStrings;
i : integer;
begin
Lines := TStringList.Create;
SearchFiles('%system32%', '*.exe', Lines, true, false);
for i:= 0 to Lines.Count-1 do
AddToLog(Lines[i]+', Size='+inttostr(GetFileSize(Lines[i])));
Lines.Free;
SaveLog(GetAVZDirectory + 'file.log');
end.
Прикрепите лог file.log из папки AVZ.

Выполнил команду и перезагрузился.
Скрипт выполнил. Файл прикрепляю.

Указание из сообщения №9 выполняли? Доступ к сайтам есть?

Указание из сообщения №9 выполняли? Доступ к сайтам есть? »
Выполнил до лога. Доступа нет.

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1

Сделайте лог http://virusinfo.info/showpost.php?p=457118&postcount=1 »
На вирусинфо тоже не пускает, прочитать что там немогу...

Sega555, Вот ваша ссылка на инструкцию.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
На сайт загрузки тоже немогу выйти, сейчас солью с варезника како-нить, и проверю. но обновитца опять не получитца.

Тогда пробуем иначе:
Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

Sega555, Отсюда (http://tools.oszone.net/Drongo/mbam-setup.rar) скачается 100 % :)

Sega555, Вот ваша ссылка на инструкцию.
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
Скачал с другова варезника и смог обновить, отчет прикрепляю.
Тогда пробуем иначе:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению." »
А это теперь делать или пока хватит уже готового отчета? Кстати по тому что в отчете, такое чувство что хватит, там как раз указание есть на IP....