Сегодня обнаружил, что со многих результатов поиска google, в независимости от браузера, происходит пересылка на некий сайт http://finditnow.osa.pl
Операционная система Microsoft Windows 7 Ultimate 6.1.7601
Пакет обновления ОС Service Pack 1
CureIt ничего не обнаружил.

Сейчас посмотрим.

Проверьте на virustotal.com (http://www.virustotal.com/ru/):
c:\users\anton\appdata\local\temp\sfareca00001.dll
c:\users\anton\appdata\local\temp\sfamcc00001.dll

Ссылки прикрепите в следующем сообщение.

Ваш провайдер COMTEL-TMN-NET?


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Anton\Downloads\Архивы\mIRC-6.35.rar','');
QuarantineFile('C:\Documents and Settings\Anton\Downloads\Архивы\mIRC-6.35.rar','');
QuarantineFile('C:\Users\Anton\AppData\Local\Temp\vTHqrJX6.sys','');
DeleteFile('c:\users\anton\appdata\local\temp\vthqrjx6.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Users\Anton\AppData\Local\Temp\vTHqrJX6.sys');
BC_DeleteSvc('vthqrjx6.sys');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Выполните 2-й скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/)Результаты ответа, сообщите здесь, в теме.

• Пофиксить в HiJackThis.
Поставьте галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R3 - URLSearchHook: (no name) - - (no file)


Повторите логи. AVZ, RSIT
+

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.


У вас установлено два антивируса
ESET NOD32 Antivirus
DrWeb 32
Удалите один из них.

Также установлен Bonjour. Можете удалить если не используете. Используя ссылку (http://safezone.cc/forum/showthread.php?t=153)

Эту программу Teamviewer сами устанавливали ( используете ее)?
c:\program files\teamviewer\version6\teamviewer_service.exe

В файл HOST вносили изменения?


Что с проблемой?

Ссылки с проверки:
http://www.virustotal.com/file-scan/report.html?id=d9c89e688caaeed8a6df4b5322f0f3affc09f1d2ecb0a7882e80e3a3b6514df0-1300575373
http://www.virustotal.com/file-scan/report.html?id=029cb7ede57c5c8eadbffac90fa0b70be30e8533837a33150cb9e1f7344d554d-1300575579
Ваш провайдер COMTEL-TMN-NET? »
Мой провайдер Comtel, но сейчас он является билайн.
У вас установлено два антивируса
ESET NOD32 Antivirus
DrWeb 32
Удалите один из них. »
DrWeb 32 я не устанавливал и как его удалить не знаю. Также установлен Bonjour. Можете удалить если не используете. Используя ссылку »
Удалил.Эту программу Teamviewer сами устанавливали ( используете ее)?
c:\program files\teamviewer\version6\teamviewer_service.exe »
Установил я. Пользуюсь крайне редко.
В файл HOST вносили изменения? »
Да, вносил изменения связанные с программой Photoshop.
Что с проблемой? »
Проблема все еще имеет место быть.

Удалите в МБАМ


Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> No action taken.

Files Infected:
c:\Users\Anton\downloads\autocad2010\autodesk_2010_32_bits\xf-a2010.exe (Trojan.Agent) -> No action taken.
c:\Users\Anton\downloads\autocad2010\autodesk_2010_64_bits\xf-a2010.exe (Trojan.Agent.CK) -> No action taken.

Что с проблемой?

Удалите в МБАМ »
Сделал.
Надо поправить >> Нарушение ассоциации SCR файлов
Открываем AVZ - Файл - Мастер поиска и устранения проблем, устанавливаем все проблемы - Пуск - поставить галку в нужном месте - Исправить отмеченные проблемы.
Что с проблемой? »
Сделал. Проблема не решена.

1. Очистите кэш память браузеров.
в Internet Explorer - открыть окно браузера и выбрать «Инструменты» из меню на верхней панели, выбрать «Параметры Интернета» (последняя опция в списке).
находим кнопку «Удалить файлы». Щелкните по этой кнопке, затем отметьте «Удалить содержимое», затем нажимаем «Готово». Когда операция будет закончена, щелкните «Готово» и закройте окно панели управления.

Opera
Откройте браузер, выберите «Инструменты» из меню на верхней панели и наведите курсор на «Предпочтения», щелкните по опции «История и кэш память» нажмите «Очистить немедленно», по окончании операции щелкните «Готово» и закройте окно браузера.

Firefox
откройте окно браузера Firefox и щелкните «Инструменты» - «Опции», щелкните на иконке «Конфиденциальность». нажмите кнопку «Очистить», щелкните «Готово» и закройте окно браузера.

2. пуск - выполнить - regedit

откроется редактор реестра. найдите ветку:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

в правой половине окна найдите параметры (если есть):
ProxyEnable
ProxyServer
ProxyOverride

значения приведите сюда.

также найдите ветку: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

параметр:

DataBasePath

значение сюда.

3. в настройках браузеров найдите опцию "подключение через прокси" (формулировка не точная, найдите аналог), проверьте не стоит ли там отметка.

217.195.208.2
217.195.211.2 - точно ваши dns? если не знаете, уточните у провайдера

ProxyEnable значение 0
DataBasePath значение %SystemRoot%\System32\drivers\etc

sm1t,
217.195.208.2
217.195.211.2 - точно ваши dns? если не знаете, уточните у провайдера »

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

3. в настройках браузеров найдите опцию "подключение через прокси" (формулировка не точная, найдите аналог), проверьте не стоит ли там отметка. »
Отметок не стоит.

217.195.208.2
217.195.211.2 - точно ваши dns? если не знаете, уточните у провайдера »
dns верны

Прикрепите лог ComboFix.

Проблема появляется только при попытке поиска "x5club.org" в google в разных браузерах (по крайней мере других не знаю). Другие поисковики работают нормально.

Начнем с малого.

Какой браузер используется? Какой софт (плагины, надстройки и пр.) устанавливалось? Какой запрос в google выполнялся?

Проблема появляется только при попытке поиска "x5club.org" в google в разных браузерах (по крайней мере других не знаю) »
Использую в основном оперу 1190 сборки. Запрос как я уже и говорил x5club.org. На сайт этот захожу без проблем если вводить его адрес. Софт и плагины не устанавливал ни на оперу ни на IE.

Не знаю что произошло, но проблема исчезла. Всем спасибо за помощь!

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall(Обязательно должен быть пробел между combofix и /u), нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up