Здравствуйте! Помогите, ради Бога! Не могу обновить Windows, не работает Internet Explorer, часто меняется домашняя страница и файл hosts, не запускаются и не обновляются некоторые антивирусные утилиты... Advanced SystemCare, после попытки запустить Internet Explorer, пишет: Хакеры - CWS.Searchmeup - HKEY_CURRENT_USER\Software\toolband. Пробовал AVZ, DrWeb CureIt, Combofix, Spybot - Search & Destroy... - ничего не находят и проблема не решается. У меня стоит AV Kaspersky 6 и Outpost Security Suite Pro 7, - они тоже проблему не решают.

Здравствуйте,

Прикрепите лог от ComboFix.

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.

2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('tmeterMP.sys','');
QuarantineFile('MEMSWEEP2.sys','');
QuarantineFile('UPGZ.sys','');
QuarantineFile('C:\DOCUME~1\EEC0~1\LOCALS~1\Temp\awliypog.sys','');
DeleteFile('UPGZ.sys');
DeleteFile('MEMSWEEP2.sys');
DeleteService('UPGZ');
DeleteService('MEMSWEEP2');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\DOCUME~1\EEC0~1\LOCALS~1\Temp\awliypog.sys');
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксите их в HJT (http://forum.oszone.net/post-1430293-2.html)


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки


4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Сделайте лог OTL (http://safezone.cc/forum/showthread.php?t=12019)

Сделал все, как сказали, но пока ничего не изменилось...

вы не сделали лог RSIT. Сделайте.

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS) (http://dsrt.dyndns.org/files/uvs_v369.zip)

Как подготовить лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

...

Здравствуйте,

1. Эти файлы проверьте на virustotal (http://www.virustotal.com/) и дайте ссылку на результаты:
C:\Documents and Settings\Анатолий\Application Data\Sys6925.Config Collection.sys
C:\WINDOWS\Sys3390 SettingsCollection.bin
C:\Documents and Settings\Анатолий\Application Data\usb.dat

2. Загрузите и сохраните SystemLook (http://jpshortstuff.247fixes.com/SystemLook.exe). Запустите ее, вставьте ниже написанный скрипт и нажмите "Look":


:file
%SystemRoot%\TOOLBAR.EXE
%SystemRoot%\MSTASKS1.EXE
%SystemRoot%\MSTASKS2.EXE
%SystemRoot%\MSTASKS3.EXE
%SystemRoot%\PAYDIAL.EXE
%SystemRoot%\SYSTIME.EXE
%SystemRoot%\NEW.EXE
:reg
HKEY_CURRENT_USER\Software\toolband


Полученный лог сохраните и приложите в ваше следующее сообщение.

3. Отлючитесь от сети, отключите антивирус

Запустите OTL, скопируйте ниже написанный скрипт в Custom Scans/Fixes и нажмите кнопку Run Fix


:OTL
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-1004336348-115176313-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-115176313-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1004336348-115176313-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [IE7_011] File not found
O4 - HKU\S-1-5-18..\RunOnce: [IE7_011] File not found
@Alternate Data Stream - 131 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8F8C2C24
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
@Alternate Data Stream - 126 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 102 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:430C6D84

:Services

:Reg

:Files
C:\WINDOWS\slavbib.ini
C:\Documents and Settings\All Users\Application Data\mtbjfghn.xbe
C:\Documents and Settings\Анатолий\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
C:\Documents and Settings\LocalService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

:Commands
[purity]
[emptytemp]
[emptyflash]
[Reboot]


Компьютер перезагрузится.

Будет создан лог, прикрепите к вашему следующему сообщению.

Доброго вам здоровья Farger, iskander-k и всем помощникам и участникам форума!..

Вот результаты проверки файлов на virustotal (простите, не знаю как делать ссылку) и логи.

По поводу C:\WINDOWS\slavbib.ini, - это файл Славянской Библии.

Домашняя страница и файл hosts пока не изменяются, но Internet Explorer не открывается, точнее начинает загружаться, но, немного подергавшись исчезает.
При попытке зайти на сайт обновления Windows замирает, ругнувшись на ошибку при восстановлении веб-узла, и появляется в адресной строке res://ieframe.dll/acr_error.htm#microsoft.com,http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru

Переустанавливал Internet Explorer 8, не помогло. Может это и фаервол блокирует?..

Здравствуйте,


но Internet Explorer не открывается, точнее начинает загружаться, но, немного подергавшись исчезает. »

Попробуйте проследовать этим (http://support.microsoft.com/fixit/ru) рекомендациям Microsoft.

При попытке зайти на сайт обновления Windows замирает, ругнувшись на ошибку при восстановлении веб-узла »

Посмотрите, пожалуйста,
здесь (http://support.microsoft.com/kb/316524/ru)

Farger, добрый день!

Последовал Вашим советам обратиться к рекомендациям Microsoft, но проблема осталась. Что можно еще предпринять?.. Попытался установить антивирусные онлайн-проверки, но ничего не получилось..

Здравствуйте,

Попытался установить антивирусные онлайн-проверки, но ничего не получилось.. »

Поконкретней можно?

Я по-прежнему не могу обновить Windows и не работает Internet Explorer... Когда начались проблемы с IE мне пришлось переустановить его, а обновить и залатать его нет возможности. Конечно, можно обойтись и без IE.., но, простите, меня настораживает сам факт, не есть ли он действие вирусов, из-за которых мне слишком часто приходится отвлекаться на лечение комп-а, а не заниматься нормальной работой.
Все началось из-за безмерного качания трафика (до 50-100 Мб), не мною и не автоматическим обновлением скачивания (все автообновления были мною запрещены), потом стали подмениваться страницы сайтов, невозможность что-либо скачать или обновить программы, Windows стал сильно тормозить... Сейчас это все прекратилось, но открытая тема пока не решилась.
Может пока все так и оставить?

Здравствуйте,

Попытался установить антивирусные онлайн-проверки, но ничего не получилось.. »

Ошибки какие выскочили? Что пробовали установить?

Вы все способы пробовали из статьи об ошибке при восстановлении веб-узла?

Здравствуйте, Farger.

Сейчас некоторые антивирусные онлайн-проверки стали доступны, за что большое спасибо. Но на F-Secure Online Scanner (Panda ActiveScan 2.0...) не смог попасть (см. сканер.jpg). Подобные окна выскакивают и на Internet Explorer, и на запуске некоторых других программ.

Попробовал все способы из статьи об ошибке при восстановлении веб-узла, - не могу зайти на центр обновления Windows.

Несколько пытался запустить утилиту Microsoft Fix it Center Setup, но безрезультатно.

Здравствуйте,

Давайте сделаем новые логи: пожалуйста, сделайте новые логи AVZ и RSIT.

У вас диск с дистрибутивом windows есть?

Доброго вам здравия, Farger!

Диска с дистрибутивом Windows сейчас с собой нет, но на переносном жестком диске есть копия его. Хотя за последние 3 месяца трижды ставил на проверку файлов.

Новые логи:

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить,

begin
ExecuteWizard('TSW',2,3,true);
end.

Добрый день, iskander-k!

Выполнил скрипт, но пока изменений нет. На некоторые сайты Microsoft захожу, но на сайты обновления Windows, Справка и устранение неполадок Windows, Internet Explorer 7... не могу зайти.

сделайте еще раз

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

и проверьте комп
Kaspersky Virus Removal Tool 2011 (http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/avptool11/setup_11.0.0.1245.x01_2011_08_21_17_10.exe) - размер 98Mb


Программа Kaspersky Virus Removal Tool 2011 работает корректно только под учетной записью пользователя с правами администратора.

Здравствуйте, iskander-k.

Забыл вчера сказать, что снова изменилась домашняя страница Internet Explorer на about:blank. А сканирование Outpost Security Suite опять показало:

Имя: BZub
Тип: Trojan
Описание:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.
Ключи реестра:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\Control Panel\load

MBAM и Kaspersky Virus Removal Tool ничего не нашли кроме уязвимостей.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\NLNdisPT.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NLNdisMP.sys','');
BC_ImportAll;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(13);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму (http://www.oszone.net/virusnet/) или на quarantine<at>safezone.cc (at=@)с указанной ссылкой на тему и вашим ником(именем на форуме). в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.


И скажите мне - чья сборка Windows XP у вас установлена ?