Я пользуюсь Firefox, но периодически самостоятельно открывается Internet Explorer с ссылкой на какой-то англоязычный сайт (некий интернет магазин вот ссылка на эту ерунду http://www.), как от этого избавится ума не приложу.
Помимо этого после включения компьютера, автоматически открывается папка мои документы.
На всех флешках появился файл: autorun.inf
При этом флешки открываются только при помощи автозапуска, после чего в папке мой компьютер вместо значка "съемный диск" флешка обозначается как "системный фаил" и не открывается.

Заранее спасибо.

Здравствуйте,

Сейчас проверю логи.

C:\Documents and Settings\Admin\Application Data\go – что в папке?


Ваш провайдер Prometey Ltd?

Вы использовали ранее Kaspersky или TDSS?

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\cbzvl.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
DeleteFile('C:\Documents and Settings\Admin\cbzvl.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки


4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ+RSIT

В дополнение к предыдущему скрипту выполните этот скрипт.

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)

begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Вставьте все зараженные флешки и подготовьте все запрашиваемые логи!

Здравствуйте.
Спасибо всем за помощь, вроде все теперь нормально.

C:\Documents and Settings\Admin\Application Data\go – что в папке?
Ваш провайдер Prometey Ltd?
Вы использовали ранее Kaspersky или TDSS? »

Что в папке? - понятия не имею
Провайдер - http://inet-lan.ru/
Kaspersky или TDSS - не использовал никогда

Ответ из лаборатории Касперского еще не пришел, выложу позже.

Логи прилагаю

autorun.inf - даже после форматирования флешки все равно заново создается

но открываются флешки нормально

Опять стала открываться ссылка в Эксплоуре (http://www.financiatoring.com/index.php/investing)

Вы прикрепили старые логи AVZ.

● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\chkntfs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder','\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

Сделайте новые логи AVZ + подготовьте такой (http://safezone.cc/forum/showthread.php?t=12019) лог.

Удалите в МВАМ (http://virusinfo.info/showpost.php?p=493584&postcount=2) только указанные строки c:\system volume information\_restore{5493f45a-80f4-44ea-8992-11bd37c37a57}\RP158\A0051047.exe (PUP.SmsPay) -> No action taken.
c:\system volume information\_restore{5493f45a-80f4-44ea-8992-11bd37c37a57}\RP158\A0051048.exe (Trojan.RepackedSetup) -> No action taken.
g:\vlada\budala.exe (Heuristics.Shuriken) -> No action taken.

выполнил,
Вот логи

Удалите в МВАМ только указанные строки
Код:
.....

Таких нет
______________________
Мои документы снова открываются после загрузки Виндоус

Запустите OTL. Скопируйте ниже написанный скрипт в окно Custom Scans/Fixes и нажмите кнопку Run Fix

:OTL
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Admin\cbzvl.exe) - C:\Documents and Settings\Admin\cbzvl.exe ()
O32 - AutoRun File - [2011.06.02 22:36:34 | 000,000,279 | ---- | M] () - E:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2011.06.02 22:36:34 | 000,000,279 | ---- | M] () - G:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{3e6dfbc3-3745-11e0-98de-001d72122ad3}\Shell - "" = AutoRun
O33 - MountPoints2\{3e6dfbc3-3745-11e0-98de-001d72122ad3}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\AutoRun\command - "" = LITAR\\krvi.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\explore\command - "" = LITAR\\\krvi.exe
O33 - MountPoints2\{5bf832e0-b755-11df-9761-001e4c43b448}\Shell\open\command - "" = LITAR\\\krvi.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\AutoRun\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\Explore\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{68029ada-7925-11df-96db-001e4c43b448}\Shell\Open\command - "" = evonocas/nisamtebe.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\AutoRun\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\Explore\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{7e2e2c62-6c12-11e0-9975-001d72122ad3}\Shell\Open\command - "" = E:\vlada/budala.exe
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\AutoRun\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\Explore\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
O33 - MountPoints2\{89b4a75c-d0f9-11df-97bb-001d72122ad3}\Shell\Open\command - "" = E:\evonocas/nisamtebe.exe -- [2011.05.19 09:40:28 | 000,202,752 | RHS- | M] ()
MsConfig - StartUpFolder: C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^chkntfs.exe - - File not found
[2011.06.02 11:18:20 | 000,202,752 | RHS- | C] () -- C:\Documents and Settings\Admin\cbzvl.exe
[2010.09.19 19:47:41 | 000,418,705 | ---- | C] () -- C:\Program Files\Common Files\jqyrg4inedzz13m
[2010.08.31 00:40:39 | 000,000,056 | RHS- | C] () -- C:\WINDOWS\System32\1BC08526BD.sys
[2010.08.11 21:02:19 | 000,000,088 | RHS- | C] () -- C:\Documents and Settings\All Users\Application Data\4923ADECE9.sys


:Files
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[EMPTYFLASH]
[Reboot]

Компьютер перезагрузится.
Прикрепите полученный лог к вашему сообщению.

Перед получением последнего сообщения, удалял все контрольные точки восстановления.

После выполнения предложенных действий
Компьютер не перезагрузился, исчезли все ярлыки с рабочего стола, диспетчер задач тоже не запускался, через F4 перезагрузиться тоже не удалось...
Сделал принудительное выключение.
После загрузки папка мои документы опять открылась.
На "G" файла авторана - нет. На "F" - снова создался

ссылка по прежнему периодически открывается

После загрузки папка мои документы опять открылась. »
Для решения этой проблемы сделайте следующее.

Скопируйте следующий текст в блокнот и сохраните с расширением .reg
Запустите этот файл и согласитесь с внесением информации в реестр.

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000

Какое устройство обозначается буквой F:?

Какое устройство обозначается буквой F:? »

Флешка на 2Гб

● Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('G:\evonocas/nisamtebe.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Admin\cbzvl.exe','');
QuarantineFile('E:\evonocas/nisamtebe.exe','');
QuarantineFile('E:\autorun.inf','');
DeleteFile('C:\Documents and Settings\Admin\cbzvl.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\evonocas/nisamtebe.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\evonocas/nisamtebe.exe');
DeleteFileMask('G:\evonocas/','*.*', true);
DeleteFileMask('F:\evonocas/','*.*', true);
DeleteFileMask('E:\evonocas/','*.*', true);
DeleteDirectory('G:\evonocas/');
DeleteDirectory('F:\evonocas/');
DeleteDirectory('E:\evonocas/');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". (http://www.forum.oszone.net/post-1430637-4.html)
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи формы http://oszone.net/virusnet

Сделайте новые логи AVZ & RSIT.

Что с проблемой после выполнения скрипта?

Карантин отправил.
Логи подготавливаю...
Файл авторана на флешке ("F") - остался, но открывается флешка нормально, хотя обозначается в моем компьютере по прежнему как папка, а не как съемный диск, форматировать ее не получается, мешает запущенный процесс.

По поводу пресловутой ссылки - открывается опять :(

готовы логи

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

Сделайте новый лог полного сканирования MBAM.