Здравствуйте! давно уже у вас не был.....
вот такая вот проблемка у знакомого...
- блокируются 114 сайтов(как я понял) - выходит табличка в браузере(в любом), что типа доступ запрещен internet security(если поставить kis2011) , то доступ запрещен kis 2011.
-изначально перенаправляло на vkontakte, потом(после моего "лечения" - просто указывало на вредоносный url)
что было предпринято:
- удален и заново поставлен kis 2011(базы обновляются без проблем)
-просканировал avz(базы обновляются без проблем)- удалено 40 файлов тулбара и асктулбара(kis2011 во время проверки "поймал" только одного.
- проверен хост- подчищен.
- насколько смог подчистил темпы
- проверил shell и userinit- чисто.
-Appinit - был в vk-saver(удалена программа и почищен параметр)
- отключил все надстройки в браузерах
- сбросил сокет
-при сканировании hijackthis вышли строчки перенаправления в hosts на один адрес - 114 сайтов- "возимел наглость" их пофиксил.СРАЗУ ВОПРОС!- где это они прописаны , если файл hosts чистый?

впрочем, что я вам тут объясняю - вам по логам все будет ясно
:up:



аааааа!!!! блин..... как же низко они в hosts блокировку сайтов закинули....первый раз такое вижу

Привет. :)

СРАЗУ ВОПРОС!- где это они прописаны , если файл hosts чистый? »Он "не чистый"

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\c243~1\locals~1\temp\cdrmkaun.sys','');
QuarantineFile('c:\windows\system32\sdra64.exe','');
DeleteFile('c:\docume~1\c243~1\locals~1\temp\cdrmkaun.sys');
DeleteFile('c:\windows\system32\sdra64.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','userinit');
DeleteService('cdrmkaun');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.
[hr]

Повторите логи AVZ + MBAM.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).
[hr]
Что с проблемой после выполнения скрипта?

Он "не чистый" »
аааааа!!!! блин..... как же низко они в hosts блокировку сайтов закинули....первый раз такое вижу »
поздно заметил(hijackthis все равно делал после avz- так что уже чистый)
но все равно заменил его ради перестраховки со своего компьютера.

итак - выполнил скрипт - по нулям.
сделал новые логи avz(выкладываю) - просмотрел - вроде чисто....
прошелся MBAM(первый лог) - удалил все подчистую
чуть попозжа прошелся еще раз(второй лог) - все оставил на месте.
- прошелся curelt -чисто.
-прошелся tdss,sality,kido,zbotkiller -чисто.
-прошелся gmer(вроде чисто)
-еще раз прошелся kis2010- чисто.
(combofix использовать не стал- очень "тяжелая прога, часто после нее в системе глюки бывают)
- проверил при помощи anvirtask -ничего подозрительного
- удалил все adob-ы
- прошелся по системе разными "чистильщиками"
-еще раз сбросил настройки сети, вручную прописал dnc(пинги до сайтов всегда благополучно проходят)
- запускал браузеры в безопасном(защищенном режиме) и через зону безопасности каспера.

надоело....... поставил ie8 :) ..... инет стал чист..... :)