На днях поймал заразу. Пишет что типо вы смотрели порно-фильмы и вас заблокировали, просит положить 500 рублей на МТС и при каждой перезагрузке номер меняется Что делать, а?
P.S. на компе установлена ещё одна винда, она не заражена (на всякий случай)
P.S.S. в безопасный режим не в какой войти не могу, выскавивают BSOD'ы (это не от вируса, это до него у меня были проблемы)

http://support.kaspersky.ru/viruses/deblocker попробуй тут разблокировать

Попробуйте инфо из темы http://forum.oszone.net/thread-148188.html
Потом

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

http://support.kaspersky.ru/viruses/deblocker попробуй тут разблокировать »


пробовал давно ещё, не помоголо


Попробуйте инфо из темы http://forum.oszone.net/thread-148188.html
Потом »

спасибо, помоголо

но в этот же день поймал ещё один - во всех браузерах ставит домашнюю страницу ctel.ru, бесит потому что пользуюсь оперой, как убрать

как убрать »
Выложите логи и вам напишут, как убрать

как убрать »

Выложите логи в соответствии с этими (http://forum.oszone.net/post-717373.html) инструкциями.

У меня не получается сделать логи как в тех (http://forum.oszone.net/post-717373.html) инструкциях. Можете своими словами по пунктам объяснить?

P.S. извините что долго не было ответа

proggg,
1.Скачайте HiJackThis - распакуйте архив и запустите программу.
Нажмите вторую кнопку сверху Do a system scan only и дождитесь окончания сканирования.
После окончания сканирования и программа покажет список того что нашла. Сохраните лог hijackthis.log нажав на кнопку Save log и укажите любое удобное Вам местоположение файла. лучше всего сохраните его на диск C:\ подробнее http://www.forum.oszone.net/thread-177677.html
2. Скачайте AVZ. Запустите AVZ и обновите базы ("Файл" => "Обновление баз")
3. Перед выполнением следующих пунктов диагностики: закройте(выгрузите) все запущенные программы, включая антивирусное программное обеспечение и firewall, оставьте запущенным только Internet Explorer.
а) Запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галочку напротив скрипта №3. Нажмите "Выполнить отмеченные скрипты". Полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. Перезагрузитесь.
б)После перезагрузки снова запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты".Полученный лог будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
архивы virusinfo_syscure.zip., virusinfo_syscheck.zip. + текстовый файл hijackthis.log вложите в следующее сообщение

Хорошо, теперь понял, будет время сделаю

Все логи в архиве

Проверьте сами на http://www.virustotal.com файл

C:\Program Files\Radio_W\prxtbRadi.dll
C:\DOCUME~1\_26C40~1\LOCALS~1\Temp\Rar$EX00.203\RTCore.sys

ссылку на результаты запостите здесь

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('mwfesbop', 4);
SetServiceStart('lenklgfs', 4);
SetServiceStart('jselllib', 4);
QuarantineFile('C:\WINDOWS\web\related.htm','');
QuarantineFile('C:\Program Files\Radio_W\prxtbRadi.dll','');
QuarantineFile('C:\WINDOWS\system32\frapsvid.dll','');
QuarantineFile('C:\DOCUME~1\_26C40~1\LOCALS~1\Temp\Rar$EX00.203\RTCore.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\mwfesbop.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\lenklgfs.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\jselllib.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\jselllib.sys');
DeleteFile('C:\WINDOWS\system32\drivers\lenklgfs.sys');
DeleteFile('C:\WINDOWS\system32\drivers\mwfesbop.sys');
DeleteFile('C:\WINDOWS\web\related.htm');
DelBHO('{c95fe080-8f5d-11d2-a20b-00aa003c157a}');
DelBHO('{963B125B-8B21-49A2-A3A8-E37092276531}');
DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}');
DelBHO('{7A8DBC21-AFF9-107B-CD09-54A3FF57B442}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
DeleteService('mwfesbop');
DeleteService('lenklgfs');
DeleteService('jselllib');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

F2 - REG:system.ini: Shell=C:\windows\explorer.exe
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - (no file)
O2 - BHO: (no name) - {7A8DBC21-AFF9-107B-CD09-54A3FF57B442} - (no file)
O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: (no name) - {963B125B-8B21-49A2-A3A8-E37092276531} - (no file)
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)


Сделайте повторные логи AVZ + RSIR

+

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

http://www.virustotal.com/file-scan/reanalysis.html?id=1eedc82334bd95d94e4eea97e3c9a53a4464462236683770e5a9b34e843df04c-1301737789 - C:\Program Files\Radio_W\prxtbRadi.dll

А второй файл я не могу найти, по адресу который вы дали в каталоге 3 файла: RMClock.exe, RMClock.htm, RMClock.reg. Файла RTCore.sys там нету.

Я начал выполнять первый скрипт через несколько секунд перезагрузка и BSOD, дамп не сохранился.

bcqr00003.dat,
bcqr00004.dat,
bcqr00005.dat,
bcqr00006.dat,
frapsvid.dll

Вредоносный код в файлах не обнаружен.

Скрипт успел выполниться? логи повторяем

+

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.