Здравствуйте. Возникла следующая проблема:
Недоступны многие сайты, в браузере появляется сообщение "От вашего имени рассылается спам ... отправьте смс". В /WINDOWS/System32/drivers/ets/ два файла hosts без расширений, изменен скрытый... При его исправлении после ребута hosts возвращается к тому же состоянию. В автозагрузке было две подозрительных программы, но их отключение ничего не дает.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
QuarantineFile('c:\windows\system32\rezip.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему и вашим ником(именем на форуме). http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме. .

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).


Если у вас 32 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то скачайте Random's System Information Tool (RSIT) (http://www.virusnet.info/random/RSIT.exe) или с зеркала (http://images.malwareremoval.com/random/RSIT.exe) ~ 335kb.

Если у вас 64 разрядная версия windows (http://windows.microsoft.com/ru-ru/windows-vista/32-bit-and-64-bit-Windows-frequently-asked-questions), то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 (http://www.virusnet.info/random/RSITx64.exe) или с зеркала (http://images.malwareremoval.com/random/RSITx64.exe) ~ 1mb.

Отключите антивирус и фаерволл.

Запустите RSIT, выберите проверку файлов за последние три месяца и нажмите продолжить.
http://s07.radikal.ru/i180/1003/8b/5f55a1b0cda3t.jpg (http://radikal.ru/F/s07.radikal.ru/i180/1003/8b/5f55a1b0cda3.jpg.html)

Утилита начнет собирать информацию
http://s43.radikal.ru/i101/1003/3c/9298f6176548t.jpg (http://radikal.ru/F/s43.radikal.ru/i101/1003/3c/9298f6176548.jpg.html)

После того как RSIT выполнит свою функцию, должны открыться два отчета log.txt и info.txt их необходимо прикрепить к сообщению, логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

*Утилита для своей работы использует программу HiJackThis. Если на компьютере пользователя не будет найдена программа HiJackThis, то она (утилита) предпримет попытку скачать HiJackThis самостоятельно.

Файлы в первом посте, как оказалось, формировались без запущенного IE. Прошу прощения за возможные неудобства, если это было важно, делал не я... virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.zip переделал и прикрепил. Эти логи до действий из второго поста.
И по второму...
Malwarebytes Anti-Malware:
Заражённые файлы:
c:\program files\delphi7se\Extras\mmxtrialcleaner.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
c:\program files\total commander\Soft\usdownloader\captchaocr\caps_net\test.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\Дарья\Desktop\новая папка\autodesk autocad 2011 x32 x64 iso\activation\keygens\xf-a2011-32bits.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\Дарья\Desktop\новая папка\autodesk autocad 2011 x32 x64 iso\activation\keygens\xf-a2011-64bits.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
И благодарю за быстрый ответ)

log.txt »
Где ?
Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.
Если у вас установлена программа WebMoney Keeper - сохраните ключи в файл.

Логи RSIT и Combo Fix. Насчет файла карантина ответа пока нет.

Обновите АВЗ и повторите логи.
Что с проблемой ?

Как оказалось, проблема решена. Заменил файл hosts на исправленный и больше он уже не изменяется. Большое спасибо за помощь :)

Удалите ComboFix !


• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), зеркало OTCleanIt (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up.

Удалил.