Решена - Вирус trojan.mayachok.1

Доброй ночи! Два дня назад зайдя на сайт одного из операторов сотовой связи компьютер ушел в ребут. После этого начались проблемы с интернетом. Не открывается большинство сайтов в Опере, выдавая сообщение, что соединение закрыто удаленным сервером.
В IE 9 - не открываются страницы вообще, после сброса настроек - открываются, но после перезагрузки - все повторяется вновь.
В Мозиле - не открываются вообще никаким образом.
Запустил Dr.Web CureIt - нашелся процесс в памяти trojan.mayachok.1 - был помечен, как обезврежен.
Virus Removal Tool тоже пробежала, нашла вирус, вылечила.
Но как-то безрезультатно. После перезагрузки опять не открываются сайты, когда запускаю Dr.Web CureIt, он находит опять данного паразита. При надписи обезврежен и проверке, сайты в Опере хотя бы открываются. Но не держать же постоянную проверку. Одна надежда на Вас, Уважаемые.

http://webfile.ru/5598104
http://webfile.ru/5598120
http://webfile.ru/5598126

 

Доброе время суток!

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\Windows\system32\kweczzb.dll');
 DeleteFile('C:\Windows\Installer\81014.msi');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

O4 - Startup: Dropbox.lnk = C:\Users\12345\AppData\Roaming\Dropbox\bin\Dropbox.exe
O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

 

Здравствуйте, Oleg!
Спасибо, что не оставили мой вопрос без внимания.
http://webfile.ru/5600646
http://webfile.ru/5600648
http://webfile.ru/5600649

Не совсем уверен, что сделал правильные логи с MBAM, но у меня не открылся файл в блокноте, как описано в инструкции, если необходимо - переделаю, только подскажите куда нажимать
http://webfile.ru/5600654

Когда фиксил, то не нашел строку
O4 - Startup: Dropbox.lnk = C:\Users\12345\AppData\Roaming\Dropbox\bin\Dropbox.exe

После нажатия кнопки "Fix Checked". Все строки в программе пропадали, но при нажатии на scan, опять была видна строка
O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe - так и должно быть? Смысл программы удалить или исправить что-то?

Кстати, те файлы, что AVZ добавил в карантин, они из системы вытащены в определенную папку или остались там же, но их функционал заблокирован? С ними надо что-то делать? Или после лечения можно все скаченное сайта можно удалить без последствий?

 

если вы по поводу следующих файлов см.ниже (которые были помещены в карантин), то можно не беспокоится, они безвредны и остались на прежнем месте, а в карантин просто были скопированы и упакованы.

это нормально.

Сообщите, проблема решена ?

 

Здравствуйте, Oleg!
Пока не знаю. Оставил на проверку Virus Removal Tool - вечером будет ясно.

Проведите небольшой ликбез, если не трудно:
После нажатия кнопки "Fix Checked". Все строки в программе пропадали, но при нажатии на scan, опять была видна строка
O23 - Service: @dfsrres.dll,-101 (DFSR) - Корпорация Майкрософт - C:\Windows\system32\DFSR.exe - так и должно быть? Смысл программы удалить или исправить что-то?

 

в данном случае, останавливает соответствующий сервис.

 

Все решено. Огромное Вам спасибо!