Вирус

Добрый день. Поймал вирус на 3 компах. При загрузке любого браузера вылезает баннер, который редиректит на сайты с трояном JS: Redirect - AOX [Trj]. Сканирование системы всеми возможными утилитами к результатам не привело. Не могу его поймать. Кто нибудь может помоч?

В т.ч. не помогло сканирование до загрузки авастовское?
И DrWeb LiveCD?

Да в том числе и это, включая CureIt

Утилитой АВЗ пробовали?

Думаю, тут без Andrey,pro не обойтись.
Дабы скоротать время, подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении. И ждём появления Andrey,pro на форуме.

Зайдите,прочитайте,скачайте,запишите на диск DVD-RW,вставьте в привод и перезагрузка.
От Windows-
http://windows.microsoft.com/ru-ru/windows/what-is-windows-defender-offline
Вопросы и ответы-
http://windows.microsoft.com/ru-RU/windows/windows-defender-offline-faq
А можно и AntiWinLocker-
http://www.antiwinlocker.ru/
http://rutracker.org/forum/viewtopic.php?t=4355887 Здесь и скачать и как пользоваться.

Выложите пож-та лог сканирования HJThis

http://sourceforge.net/projects/hjt/

В понедельник все будет

Факт в том что он не блокирует виндоувс и браузер, он постоянно вылезает в виде банера при загрузке любой страницы!

Тогда только удалять браузер прогой RevoUnistaller,она и диск и реестр подчистит,а потом устанавливать новую версию.Что-то где-то сидит в самом браузере.

Зачем удалять? Сначала нужно просто посмотреть. Возможно, зараза не только в реестре сидит, а еще и в хосте. Для этого лог и нужен.

wert_kgb

Как вариант, гляньте в свойствах сетевой карты => протокол ip v4 => адрес DNS сервера, либо на по умолчанию скиньте, либо смените на первичный 8.8.8.8 вторичный 8.8.4.4 это днс гугла, в браузерах вычистить КЭШ => перезагрузка.

ivanovich

Зачем Вы флудите не по теме?
По какой причине Вы сразу стреляете из пушки по воробьям?
Написано же, что в ЛЮБОМ браузере.

Kaskad

Думаю, тут без Andrey,pro не обойтись.

Точно? =))

Log Malwarebytes Anti-Malware

Log OTL

wert_kgb
В днс уберите 88.198.15.115, смените на 8.8.4.4

Выше написал как это сделать.

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 88.198.15.115 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces{ADC92F61-9B01-489C-A35A-BC271673B295}: DhcpNameServer = 88.198.15.115 8.8.8.8

Log aswMBR

Log HiJackThis

Сделал

wert_kgb

Исправилось?

p.s. Это не вирус так делает, а фаил реестра, такой же подобный и файл hosts правит.

Вообщем дело такое. В пятницу проводил дозагрузочное сканирование авастом. Потом ушел домой. Сейчас проблема решилась, но аваст выловил сегодня файл по пути
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\NQISW6RB\ga[1].js
До сканирования еще отключал поддержку JavaScript в гугле и разных надстроек. Но потом снова пришлось включить.