Решена - trojan.win32.ddox.ci

подхватил троян : trojan.win32.ddox.ci
после чего у меня стали плохо грузиться интернет страницы
потом вобще перестали грузиться
Opera предлогала скачать новую версию и просила отправить смс
вот мои логи:
1)http://exfile.ru/188533
2)http://exfile.ru/188534
3)http://exfile.ru/188536
Помогите пожалуйста

 

Анализирую логи, подождите..

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 QuarantineFile('C:\systemhost\systemhost.exe','');
 QuarantineFile('C:\Users\2C15~1\AppData\Local\Temp\FAUC284.tmp','');
 QuarantineFile('C:\Users\2C15~1\AppData\Local\Temp\EagleNT.sys','');
 QuarantineFile('C:\Users\2C15~1\AppData\Local\Temp\fxtdypow.sys','');
 DeleteFile('C:\Windows\system32\jzkzqyc.dll');
 DeleteFile('C:\Users\Загагов\AppData\Local\MediaGet2\mediaget.exe');
 DeleteFile('C:\Users\Загагов\AppData\Local\Temp\_uninst_setup_9.0.0.722_28.06.2011_15-10.exe.bat');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат сообщите здесь.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKCU\..\Run: [systemhost.exe] C:\systemhost\systemhost.exe
O4 - HKCU\..\Run: [E89125053796BECB] C:\systemhost\systemhost.exe
O4 - Startup: _uninst_setup_9.0.0.722_28.06.2011_15-10.exe.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\jzkzqyc.dll
[B][COLOR=Blue]Если Вам [U]НЕ[/U] знакомы эти DNS сервера - ([URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL]), пофиксите строки:[/COLOR][/B]
[COLOR=Blue]O17 - HKLM\System\CCS\Services\Tcpip\..\{80EF0C63-5D84-4B6B-8AE5-F6671690E374}: NameServer = [URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL]
O17 - HKLM\System\CS1\Services\Tcpip\..\{80EF0C63-5D84-4B6B-8AE5-F6671690E374}: NameServer = [URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL]
O17 - HKLM\System\CS2\Services\Tcpip\..\{80EF0C63-5D84-4B6B-8AE5-F6671690E374}: NameServer = [URL="http://www.hijackthis.de/whois.php"]83.239.192.2[/URL],[URL="http://www.hijackthis.de/whois.php"]83.239.193.3[/URL][/COLOR]

5. Сделайте новые логи AVZ и HijackThis

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

- НЕ используйте в работе Internet Explorer, замените его например одним из этих: Mozilla FireFox, Opera, Google Chrome.
- Работайте в системе исключительно под учетной записью пользователя (НЕ АДМИНИСТРАТОРА).

 

Бальшое Спасибо, все работает
вот то что вы просили:
avz4:http://www.virustotal.com/file-scan...d77a6940b750bf7d53baa44ffb75eb3141-1309350870
HiJackThis:http://exfile.ru/188766
MBAM:http://exfile.ru/188767
на этом лечение окончено??? можно удалять все скаченые для лечения файлы???

 

активного заражения не вижу, лечение завершено