помогите пожалуйста с проблемой!

[tarGet]

появилась данная проблема.. при загрузке винды появляется Самораспаковывающийся архив и еще в браузере стартовая страница поменялась на ****

 

вот логи

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Сообщение от модератора Mark D. Pearlstone

Вредоносная ссылка удалена.

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('{DEF85C80-216A-43ab-AF70-1665EDBE2780}', 4);
QuarantineFile('C:\Program Files\VKMus\vkmus.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\system32\XPize.scr','');
QuarantineFile('C:\WINDOWS\msauc.exe','');
QuarantineFile('C:\Games\PartyGaming\*.*','');
QuarantineFile('C:\Documents and Settings\123\Application Data\archsoft\*.*','');
QuarantineFile('%SYSTEMROOT%\system32\XPize.scr','');
QuarantineFile('C:\WINDOWS\TEMP\26A.tmp','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atapi.sys','');
QuarantineFile('C:\DOCUME~1\123\LOCALS~1\Temp\tQT22N2h.sys','');
DeleteFile('C:\WINDOWS\TEMP\26A.tmp');
DeleteFileMask('C:\Documents and Settings\123\Application Data\archsoft\','*.* ',true ,' ');
DeleteDirectory('C:\Documents and Settings\123\Application Data\archsoft\ ',' ');
DeleteFileMask('C:\Games\PartyGaming\ ','*.* ',true,' ');
DeleteDirectory('C:\Games\PartyGaming\ ',' ');
DeleteFile('C:\WINDOWS\msauc.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxgz');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lsass driver');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WMDM PMSP Service');
DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',1,1,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
F2 - REG:system.ini: Shell=explorer.exe 
F3 - REG:win.ini: run= 
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [winxgz] "C:\Documents and Settings\123\Application Data\archsoft\arcstart.exe" autostart
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Games\PartyGaming\PartyPoker\RunApp.exe

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

+

Сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

[tarGet]

mbam_log_2011_06_29__21_06_11_.txt

gmerlog.log

[thyrex]

Удалите в МВАМ только указанные строки

Заражённые ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Заражённые папки:
c:\documents and settings\123\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.

Заражённые файлы:
c:\documents and settings\123\doctorweb\quarantine\hUVTPF.syz (Rootkit.Chksyn) -> No action taken.
c:\documents and settings\123\doctorweb\quarantine\KHUWjl.syz (Rootkit.Chksyn) -> No action taken.
c:\documents and settings\123\doctorweb\quarantine\vef4UJ.syz (Rootkit.Chksyn) -> No action taken.
c:\documents and settings\123\рабочий стол\avz4\quarantine\2011-06-29\avz00066.dta (Trojan.FakeSMS) -> No action taken.
c:\system volume information\_restore{59938c7c-4c41-4a42-adbc-c3c29fc6e2b3}\RP1\A0000011.exe (Trojan.FakeSMS) -> No action taken.
c:\WINDOWS\system32\phcthlj0e18g.bmp (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\lich.dat (Stolen.data) -> No action taken.
c:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent\data.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
c:\documents and settings\123\local settings\application data\target marketing agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.

[Roman_Five]

tarGet,

не выполнили:

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.