Здравствуйте, господа.

Последнее время у меня служба "беспроводные сети" при включении ноута стала выключаться (непонятно почему - в настройках стоит включаться автоматически). Кроме того, почему-то не заходит на некоторые сайты. Хотя у других людей эти сайты открываются. У меня под прокси эти сайты тоже открываются, а без прокси нет. Файл hosts чистил - результата не дало. Кроме того, есть подозрение, что кейлогером выцепили мои пароли к хостингу, а значит может быть до сих пор какая-то бяка на ноуте живёт.

Необходимые логи прикреплены. Надеюсь, вы сможете мне помочь.

Заранее благодарю за помощь.

Внимание !!! База поcледний раз обновлялась 28.02.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.37.
Пожалуйста обновите базы

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):


begin
ExecuteAVUpdate;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('c:\windows\fredo.sys','');
QuarantineFile('C:\WINDOWS\apppatch\gnttbaj.exe','');
DeleteFile('c:\windows\fredo.sys');
DeleteFile('C:\WINDOWS\apppatch\gnttbaj.exe');
DeleteService('newdriver');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

по окончанию лечения не забудьте сменить пароли.

Скриптом прогнал, по случаю новую авз поставил, базу обновил, прогнал, новые логи прикрепил. В форму данные отправил.

Проблема с сайтами так и осталась, например сайт http://whitebox.com.ua выдаёт мне: невозможно подключиться к удалённому серверу. Хотя у всех работает. И под прокси работает.

У меня уже была такая проблема ранее - нашёл тогда в интернете совет в командной строке набрать: route -f
Тогда всё починилось. Сейчас проблема схожа, но решение не помогает. И удаление всякой бяки тоже похоже не помогло. Я в замешательстве.

Профиксите (http://safezone.cc/forum/showthread.php?t=9) в HijackThis

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
R3 - URLSearchHook: (no name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)

Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

Долго очень проверялось, но вроде бы что-то нашлось. Пока ничего не удалял - логи прикрепил, жду вашего совета. Ещё раз спасибо за помощь.

KGB Keylogger сами устаналивали ?

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве (http://safezone.cc/forum/showpost.php?p=134172&postcount=2)

Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 3
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: ЧT!яБx4<±Бдў+Г†д„a‰ѕлХI“ђnо7eьсAУ=Ћ?дёJє{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr8Б·Ї¶hЯЇ -вEФ,‡ѓҐSh‚Ј¤nQoк{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr-©@ЛП}l{x@V4(вrКЊ`f|·№ћЊGoЌ·њ{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr {x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V 4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr {x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V 4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr {x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вr{x@V4(вrУ
„Є»э\5 -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://teerg.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: http://teerg.com/Bg43ZV623/proxy.pac -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\logs.dat (Bifrose.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Антон\Application Data\logs.dat (Bifrose.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Local Settings\Temp\IELOGIN.abc (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Local Settings\Temp\UuU.uUu (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Local Settings\Temp\XxX.xXx (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\logfile32.txt (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\Антон\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Member of GRID - Goodware Repository Information Database.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.


+ если кейлогер сами не ставили удалите также в MBAM

Обнаруженные папки: 8
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDA (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM (Refog.Keylogger) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\key.bin (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\s0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\sqlite3.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\S0000 (Refog.Keylogger) -> Действие не было предпринято.

--------------------------------------------------------

пролечитесь утилитой capperkiller (http://support.kaspersky.ru/9208) лог работы утилиты приложите.

---------------------------

Внимание, следующее действие удалит установленные тулбары.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

сделайте новый лог сканирования MBAM

+ после окончания лечения не забудьте сменить пароли.

Окно не закрыл ещё - кейлогер не ставил

Всё кроме MBAM сделал (оно долго идёт - на ночь поставлю)
Логи прикрепил.
Какие-то позитивные сдвиги есть - какие-то старые мелкие баги пофиксились.
Но сайты некоторые всё равно не открываются! И я всё ещё в печали.

сайты некоторые всё равно не открываются »
Пинг по имени идет? В любом браузере не открываются? В портативном (http://portableapps.com/) тоже?

Сайты не пингуются и в портативном тоже не открываются

Проверьте в безопасном режиме с поддержкой сети.

В безопасном режиме все сайты работают!

Правда после написания этого сообщения опять перезагрузил в безопасный режим - теперь и там не работают! Ведь только что работало. И тоже теперь не работает...те же сайты. А большая часть сайтов работает.

Сделайте диагностику (http://www.oszone.net/9856#half).

В безопасном отключил все службы кроме сетевого драйвера и корпорации майкрософт (там есть службы, которые по русски подписаны корпорация майкрософт - я их также не отключал), в автозагрузке убрал всё кроме системных. И всё равно! Яндекс пингуется, whitebox.com.ua не пингуется

Обратитесь в тех. поддержку провайдера. Вполне возможно, что заблокировано с его стороны.

Провайдер скорее всего не при чём - проблема, как я указывал, возникала и ранее, а я буквально на днях переехал в другую страну - и соответственно сменил провайдера. А проблема осталась.

Проблема всё ещё актуальна. Заметил, что иногда в файле hosts внезапно прописываются какие-то строчки. Я их удаляю, но эффекта всё равно нет - многие сайты по прежнему не открываются. Это печалит меня всё больше.

Сделайте новые логи AVZ и RSIT.

Дополнительно сделайте лог uVS:
Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/uvsfiles.htm) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

Лог мне выдало в ткст, раз надо в винраре - запаковал - прикрепил, если не поможет, то завтра ещё прогоню остальными, хотя я там уже всё что мог зачистил.

Я лог смотрел - фигурирует какой-то оптимайзер про - мне помнится, он мне установился вместе с каким-то скаченным файлом случайно. Может это и есть троян, не?

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\INIT\INI.EXE
delref HTTP://TEERG.COM/BG43ZV623/PROXY.PAC
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

2) ещё раз пролечитесь утилитой capperkiller (http://support.kaspersky.ru/9208) лог работы утилиты приложите.

3) сделайте экспорт ветки реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

заархивируйте и прикрепите к своему сообщению.

4) сделайте новый лог автозапуска uVS.

PS. OPTIMIZERPRO если вам не нужен деинсталируйте.