Здравствуйте, помогите, пожалуйста. Своими скромными потугами избавиться от руткита не смогла, несмотря на вспомогательные антивирусные программы.

Дней пять назад аваст показал сообщение о рутките, окопавшемся где-то в системном диске C. После полной проверки системы и удаления подозрительного объекта, снова появлялось сообщение о том же самом рутките. После ещё одной чистки, сообщения перестали появляться, но руткит, похоже, уничтожен не был.

Со вчерашнего дня при запуске браузера(фаерфокса), вместо начальной страницы яндекса, каждый раз запускается следующая страница - http://www.ivi.ru/watch/eralash/45499?utm_source=CityAds_new&utm_medium=cpc&utm_content=BvT&utm_campaign=CityAds&prx=356351465

Пробовала найти гадость с помощью разных антишпионских программ, но даже при удалении подозрительных объектов(иногда их не было), ничего не изменилось, запускается всё та же страница с 76 выпуском Ералаша. Проводила проверки с помощью следующих программ: Spybot, tdskiller,IObit malware fighter, Malwarebytes’ Anti-Malware, aswMBR(проверка сорвалась, выключился комп, сейчас запущу ещё раз), OTL и JRT.

Отчёты прилагаю.
Заранее спасибо.

ещё два лога…

Проверьте файл C:\Windows\SysNative\C5B1.tmp на virustotal:

[*]нажмите кнопку Выбрать файл (Choose File) - найдите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). [*]Нажмите на кнопку Повторить анализ (Reanalyse) если данная кнопка будет доступна.
[*]Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) cкопируйте и укажите в следующем сообщении.

https://www.virustotal.com/ru/file/5dd729c7fd473549bc65ce35d6632b4cf3d1710adde5402dc72caaf74e705ce4/analysis/1383554737/

это то, что нужно?

Вы сами прописывали в файле hosts сайты?

нет, вроде бы нет…
единственное, что я делала в последнее время из небезопасного, это добавила один сайт в исключения аваста (rusports.org)

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

• Компьютер перезагрузится.
• После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

текст очень длинный, поэтому просто креплю лог

После выполнения скрипта по-прежнему при запуске браузера фаерфокс открывается выпуск ералаша?

да

Скачайте AdwCleaner на Рабочий стол

• запустите AdwCleaner и нажмите кнопку Scan

https://dl.dropbox.com/u/73555776/AdwCleaner.GIF

[*]После того, как сканирование будет окончено, нажмите кнопку report, будет создан отчет, прикрепите его в следующем сообщении

как-то незаметно прошла проверка…лог ниже.

случайно два раза отправился.

Уберите галочки с этих пунктов на вкладке Files/Folders:

File Found : C:\Users\Элла\AppData\Roaming\Mozilla\Firefox\Profiles\iyuzron4.default\.autoreg
Folder Found C:\Program Files (x86)\Mail.Ru
Folder Found C:\Users\Элла\AppData\Local\Mail.Ru
Folder Found C:\Users\Элла\AppData\LocalLow\Mail.Ru

Убедитесь, что на вкладке Registry везде стоят галочки и нажмите кнопку Clean.

сделала, всё также запускается ералаш

Скачайте ComboFix :
Ссылка 1
Ссылка 2

ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол

• ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь

[*]Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
[*]Примите соглашение и согласитесь на обновление, если программа попросит об этом

http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png

http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png

[*]После окончания, будет произведен отчет.
[*]Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.

Примечания:

1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения

Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.

(пишу с ноута.)
запустила комбофикс…он находится сейчас на стадии подготовки лог-отчёта, просит не открывать другие программы до завершения его работы…
если честно этот отчёт подозрительно долго готовится-минут 7-8 уже…

Это нормально, дождитесь окончания создания отчета. Если через 10 минут отчет создан не будет, то перезагрузите компьютер и сообщите об этом в следующем сообщении.

проблема осталась, только сбились ещё и настройки, теперь запускается эксплорер вместо фаерфокса, всё с тем же ералашем.
лог ниже.

кстати аваст при полной проверке находил скрытые объекты, с которыми не мог справиться. провести ещё раз проверку и прикрепить отчёт?

Да, сделайте полную проверку и прикрепите отчет, никаких следов руткита я не вижу, немного стало понятнее, что открывается этот сайт (love-clicks.ru) в браузере, который является браузером по умолчанию (после combofix настройки были сброшены, т.е. браузером по умолчанию стал Internet explorer). Еще прикрепите файл aswAr.log, который расположен в C:\ProgramData\AVAST Software\Avast\log