Открывая любой браузер, появляются баннеры рекламные.
проверял drweb и KIS все что нашел удалил
проблема осталась
Gmer обнаружил руткит, не знаю как его убрать

Заранее благодарю

RSIT

Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Обновите и повторите логи AVZ.

Обновите и повторите логи AVZ. »

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Acer\6200188.exe','');
DeleteFile('C:\Users\Acer\6200188.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

Повторите логи AVZ (стандартный скрипт 2) и RSIT. »
Gmer по-прежнему показывает, что есть скрытый процесс в системе
Process (*** hidden *** ) [4] 84527940
Disk \Device\Harddisk0\DR0 unknown MBR code

Открывая любой браузер, появляются баннеры рекламные »
Это еще беспокоит?

Это еще беспокоит? »
остались. при открытии браузера открывается сайт download.flash-tech.ro с рекомендации обновить flash player. Открывает подменную страницу flash player+ все остальные рекламные баннеры

Скачайте ComboFix здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://safezone.cc/forum/showthread.php?t=18577). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Combofix

К сети подключаетесь через роутер?

Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

var
STR : TStringList;
CMDFile: string;
begin
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
STR := TStringList.Create;
STR.Add('ipconfig /all > diag.log');
STR.Add('route print >> diag.log');
STR.SaveToFile(GetAVZDirectory + 'diag.cmd');
CMDFile:= GetAVZDirectory + 'diag.cmd';
ExecuteFile(CMDFile, '', 0, 200000, true);
end.
diag.log из папки с AVZ выложите.

К сети подключаетесь через роутер? »
Да через роутер. Однако я принес ноут на работу и тут тоже роутер, все проверки и логи делаю здесь,
здесь безопасная сеть, специально пришел сюда, чтобы исключить проблему роутера

Вот что сначала возникает до рекламных баннеров
http://s58.radikal.ru/i162/1309/82/8bff028db1d4t.jpg (http://radikal.ru/fp/ad4f3f8951214c16bb8d8d57878d727f)

http://i022.radikal.ru/1309/0f/98e4509498e2t.jpg (http://radikal.ru/fp/4363d37d80f444f6bbcca67847a018b8)

А на работе тоже проявляется проблема с баннерами? Если да, то это происходит во всех браузерах?

Sandor,

на работе тоже появляется. пока 15 минут тестов показали, что большая часть баннеров в опере, в хроме пока за 15 минут не увидел этих баннеров, оперу переустановил, не помогло.

Попробуйте портативную версию (http://www.opera-usb.com/) Оперы. Если там будет нормально, проверьте плагины, расширения. Переустановите с зачисткой (revo uninstaller, например). В Internet Explorer-е тоже нормально?

Sandor
Спасибо за помощь, проблема решена.
Запустил KIS c загрузочного, во время проверки нашел 16 угроз в папке windows и windows defender
После этого полет нормальный во всех браузерах и работоспособность восстановилась

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe), когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), запустите, нажмите Clean up