Добрый день!
2 дня назад что-то случилось с компьютером. Выключался с ошибкой irql_not_less_or_equal. ..с этим вроде разобрался, но теперь когда захожу в браузер, пишет ieframe.dll (в адресной строке) и потом не открыть страницу.... Так же если сбросить настойки то все норм. И так каждый раз. Фаерфокс вообще не работает. До этого всего вроде как выплыло окно с "Mc remover". Но я все отсканировал и вроде теперь как "должно" быть "чисто".
Все логи выкладываю!
Заранее огромное спасибо!
Андрей.
пс. не могу на данный момент переустановить винду, нет возможности.

Выполните правила по запросу о помощи (http://forum.oszone.net/thread-98169.html)

все сделал! только как залить файлы?

Справа есть опция "Прикрепить файлы".

LOGS

Не все логи сделали правильно. Сейчас разберемся, посмотрю логи. Карантин virusinfo_cure.zip уберите.

OK!

Если прокси-сервер сами не прописывали, то пофиксите и эту строчку (как пофиксить, смотритие здесь (http://forum.oszone.net/post-1430293-2.html))

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63374

C:\ProgramData\fC42900GfOaE42900 – что в папке?
C:\ProgramData\fE42900KmDkH42900 – что в папке?

C:\Users\Andrew\AppData\Roaming\inst.exe – проверьте на virustotal (http://www.virustotal.com/) и дайте ссылку на результат

TeamViewer сами устанавливали?

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\users\andrew\appdata\local\temp\csrss.exe');
TerminateProcessByName('c:\users\andrew\appdata\roaming\microsoft\conhost.exe');
TerminateProcessByName('c:\users\andrew\appdata\roaming\dwm.exe');
QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\xzuk31ywqyhmywpapbkdusasxx1 rwkbz2\svcnost.exe','');
QuarantineFile('C:\Users\Andrew\AppData\Roaming\Microsoft\conhost.exe','');
QuarantineFile('C:\Users\Andrew\AppData\Local\ogenuver.dll','');
QuarantineFile('C:\Users\Andrew\AppData\Local\dbLedpic.dll','');
QuarantineFile('c:\users\andrew\appdata\local\temp\csrss.exe','');
QuarantineFile('c:\users\andrew\appdata\roaming\microsoft\conhost.exe','');
QuarantineFile('c:\users\andrew\appdata\roaming\dwm.exe','');
QuarantineFile('C:\Windows\TEMP\0.6822659380433721.exe','');
DeleteFile('C:\Windows\TEMP\0.6822659380433721.exe');
DeleteFile('c:\users\andrew\appdata\roaming\dwm.exe');
DeleteFile('c:\users\andrew\appdata\roaming\microsoft\conhost.exe');
DeleteFile('c:\users\andrew\appdata\local\temp\csrss.exe');
DeleteFile('C:\Users\Andrew\AppData\Local\dbLedpic.dll');
DeleteFile('C:\Users\Andrew\AppData\Local\ogenuver.dll');
DeleteFile('C:\Users\Andrew\AppData\Roaming\Microsoft\conhost.exe');
DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\xzuk31ywqyhmywpapbkdusasxx1rwkb z2\svcnost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Osulerebeva');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sniru');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Sniru');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','conhost');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','mssend');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','mssend');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)


F3 - REG:win.ini: load=C:\Users\Andrew\AppData\Local\Temp\csrss.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Sniru] rundll32.exe "C:\Users\Andrew\AppData\Local\ogenuver.dll",Startup
O4 - HKLM\..\Run: [conhost] C:\Users\Andrew\AppData\Roaming\Microsoft\conhost.exe
O4 - HKCU\..\Run: [Sniru] rundll32.exe "C:\Users\Andrew\AppData\Local\ogenuver.dll",Startup
O4 - HKCU\..\Run: [Osulerebeva] rundll32.exe "C:\Users\Andrew\AppData\Local\dbLedpic.dll",Startup
O4 - HKCU\..\Run: [conhost] C:\Users\Andrew\AppData\Roaming\Microsoft\conhost.exe
O4 - HKUS\S-1-5-18\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xzuk31ywqyhmywpapbkdus asxx1rwkbz2\svcnost.exe" (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [mssend] "C:\Windows\system32\config\systemprofile\AppData\Roaming\xzuk31ywqyhmywpapbkdus asxx1rwkbz2\svcnost.exe" (User 'Default user')
O9 - Extra button: SCARABAY - {A28A0545-4B15-4AC0-B4A4-118ACA2A7317} - (no file)
O9 - Extra 'Tools' menuitem: To fill a login and the password - {A28A0545-4B15-4AC0-B4A4-118ACA2A7317} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\Windows\web\related.htm (file missing)


Внимание! Если вы сами НЕ устанавливали политику ограничения которая запрещает изменение IE стартовую страницу для текущего пользователя, а также которая ограничивает доступ к "Свойства обозревателя" из IE или в панели управления, тога пофиксите в HiJackThis и эти строки также:


O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present


4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ (стандартные скрипты №2 и №3)+RSIT

C:\ProgramData\fC42900GfOaE42900 – что в папке?
C:\ProgramData\fE42900KmDkH42900 – что в папке? »
Там файлы с таким же именем... Их удалит? Модифицированный 30.05.2011

TeamViewer сами устанавливали? »

да, сам. И вроде бы я вчера удалили его.
Спасибо большое за информацию. Сейчас займусь.
Как выполню все пункты напишу.

Farger, К сожалению такой строки нет ( R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63374 ), но я профиксил все с R1.
Теперь нет ни одного с R1

Там файлы с таким же именем... Их удалит? Модифицированный 30.05.2011 »

Файлы вам знакомы? Проверьте их на virustotal, ссылку на него можете найти в моем сообщении выше.

Строка R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:63374 была в логе RSIT (иначе откуда бы я ее взял), ее еще вы можете увидеть сделав сканирование системы с помощью HiJackThis.

Не занимайтесь самолечением если не уверены в том, что делаете, лучше переспросить.

Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\ProgramData\fC42900GfOaE42900\fC42900GfOaE42900.exe','');
QuarantineFile('C:\ProgramData\fE42900KmDkH42900\fE42900KmDkH42900.exe','');
DeleteFile('C:\ProgramData\fE42900KmDkH42900\fE42900KmDkH42900.exe');
DeleteFile('C:\ProgramData\fC42900GfOaE42900\fC42900GfOaE42900.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip на при помощи этой формы (http://www.oszone.net/virusnet/)

Сделайте новые логи

Farger, все выполнил. С Internet Explorer все вроде бы нормально (вроде бы....) , но если выключить Malwarebytes' Anti-Malware, то заходя в Internet Explorer или Opera, то через 5 сек. появляется ошибка "crash error".жму ОК , но он выкидывает опять.... (это написал для справки, чтоб легче было)
С этого сайта (Каспирского ) ни чего не прислали... (http://support.kaspersky.ru/virlab/helpdesk.html)-сайт.

thyrex, все сделал. Загрузил на указанный Вами сайт. Сейчас делаются логи. Логи ДО выполнения скриптов которые Вы написали, я уже выложил. Спасибо

Здравствуйте,

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Windows\system32\config\systemprofile\App Data\Roaming\xzuk31ywqyhmywpapbkdusasxx1rwkbz2\svcnost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firew allpolicy\standardprofile\authorizedapplications\list','C:\Windows\TEMP\0.6822659380433721.exe');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

Повторите лог RSIT

Farger, Все сделал!

Здравствуйте,

Ответы по карантинам получили? Что с проблемами?

Добрый день, Farger,
С сожалению пришло только это...но это не то...
"7d9416c32331060.bup,
7d9416e1118e40.bup,
7d9416e11361ed0.bup,
7d941ae21382410.bup,
7d941ae213917c0.bup

Файлы в процессе обработки."
Я подумал, может это антивирусники конфиктуют? Поэтому и вылетают браузеры?

Все браузеры вылетают? У вас только ESET антивирус. Скрин ошибки можете прикрепить?

Да, вылетают ВСЕ + медиа плеер и Неро (плеер) вылетают (без ошибок).
Вот и ошибки:

OPERA Но браузер не вылетает ( в этот раз)
The URL http://\07,\1EV/\13B\1D\14@,R\07\1AJ0\19\04^/og\17\7FKWX¬WS:Yq\10\01}'q\07u\02\1C\0CS\1CI\13\18¦De\01\056\08; contains characters that are not valid in the location they are found.

Да, вылетают ВСЕ + медиа плеер и Неро (плеер) вылетают (без ошибок).
Вот и ошибки.
OPERA Но браузер не вылетает ( в этот раз)
The URL http://\07,\1EV/\13B\1D\14@,R\07\1AJ0\19\04^/og\17\7FKWX¬WS:Yq\10\01}'q\07u\02

\1C\0CS\1CI\13\18¦De\01\056\08; contains characters that are not valid in the location they are found.
FIREFOX
Прокси-сервер отказывается принимать соединения

Firefox настроен на использование прокси-сервера, который отказывает в соединении.
* Проверьте настройки прокси-сервера и убедитесь, что они верны.

* Свяжитесь с вашим системным администратором и убедитесь, что прокси-сервер работает.

А вы используете прокси? Если нет, откройте Firefox -> Инструменты -> Опции (у меня другая локализация браузера, последняя строка в "Инструментах") -> Дополнительно -> Настроить -> выберите "Без прокси", Ок.

Ссылки на скрины не могут быть открыты.