Решена - вирус Trojan.Win32.bkiu, помогите

по всех браузерах через несколько минут работы:
перестает полностью скачивать код страницы и отображает только часть кода.
перекидывает на сайт http://internet.com/ что типа у меня очень низкий отклик.
или иногда просто не открывает страницу, типа интернер не подключен.


прочитал тему такую же. сделал как было сказано.

http://webfile.ru/5600905 --- hijackthis.log
http://webfile.ru/5600907 --- mbam-log-2011-10-13 (01-29-10).txt


при каждом выплывании окошка что вам нужно обновить защиту браузера, программа MBAM фиксирует выход(исходящее) соединение на опасный ип-адрес.

[mod="Nod"]

Внимание посетителям форума!

Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).​

Если вы вдруг обнаружили у себя этот вирус:

- Сделайте Логи как показано в -
- Создайте тему в разделе по борьбе с вирусами, с кратким описанием своей проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
[/mod]

 

Почему не сделали Лог AVZ!?

Сделать его можно следующим образом:

Запустите AVZ, обновите базы (файл->обновление баз) и выполните стандартный скрипт №3 и №2
■ Дождитесь завершения процесса (появится сообщение Скрипты выполнены).
■ После чего в папке avz появится папка LOG, в ней найдите 2 архива:
virusinfo_sysCURE.zip и virusinfo_sysCHEK.zip.
■ Эти 2 архива, разместите на любом файлообменнике (например webfile.ru, указав в своей теме ссылки на эти файлы.
Внимание: После выполнения данного шага обязательно перезагрузите компьютер.

 

1. Отключите антивирус/фаервол, интернет.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\WINDOWS\system32\gesxyak.dll');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

O4 - Startup: DeskPins.lnk = C:\Program Files\DeskPins\DeskPins.exe
O4 - Startup: routeadd.bat
[COLOR=Blue]Если вам не знакомы следующие DNS адреса, пофиксите эту строчку ниже:
[B]NameServer = 172.16.46.254,[URL="http://www.hijackthis.de/whois.php"]192.19.32.2[/URL][/B][/COLOR]
O20 - AppInit_DLLs: C:\WINDOWS\system32\gesxyak.dll,C:\PROGRA~1\KASPER~1\KASPER~2\kloehk.dll

5.Удалите в MBAM следующее:

6. Сделайте новые логи AVZ, HijackThis и MBAM

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:

 

в AVZ не создается лог в папке, после скрипта комп сразу перезагружается, а после проверки ничего не происходит.

и в HijackThis не было
NameServer = 172.16.46.254,192.19.32.2

в MBAM все удалил что было написано.
AVPTool тоже пускал но он ничего уже не нашел.

щас проверяю как работает.

 

проблема решена?

 

да, спасибо, пока без сбоев!