Windows 7 + firefox. Установился зловредно facemoods.com. Уж как - не знаю, вроде предохраняюсь как могу :-(. Ну ладно - совместными усилиями CCleaner-a и SpyBot-a устранил его вроде. Но остается одно очень неприятное последствие (не знаю от него ли или уже дольше есть или они оба - последствия какого-то более скрытого заражения).При logout из PayPal-а перенаправляется на зловредную страничку mediaplex.com.Она конечно блокируется WOT-ом, и других симптомов пока никаких нет, но все-равно неприятно. Уже все перепробовал - не знаю где еще и искать... Прошу не смеяться и не предлагать выкинуть комп, а помочь советом. Уже третий вечер после работы допоздна бьюсь - и ни в какую... :-(

Константин ЦветковПроверьте ROUTE PRINT

Большое спасибо! Проверю и то и другое - когда вечером до компа доберусь. Сделал сейчас на работе ROUTE PRINT - выдает табличку. На что в ней обратить внимание, что проверить?

Green2Может ещё троян в реестре прописаться.
Устрой поиск в реестре по имени сайта.

да это первое что я сделал - нету! Не так он прост...

Константин ЦветковЧто бы не было подозрительных записей.

И все-таки:
1. По каким признакам отличать "подозрительные записи"?
2. Предположим я их нашел - как мне это может помочь при поиске и устранении виновника?

Пардон, если задаю дурацкие вопросы - не специалист в этих делах (хотя и не полный чайник, т.е. что искать в hosts, например, представляю - но там-то подозрительные записи можно просто выкинуть)

Константин ЦветковПроверьте C:\Windows\System32\drivers\etc\hosts

hosts в нетронутом состоянии. выполнил ROUTE PRINT - так сходу ничего подозрительного не заметил, но попробую еще покопаться. Попробовал GMER-ом проверить на rootkit-ы. Сам GMER ничего не нашел, но CATCHME сообщил NTDLL code modification. Что это означает - может ложное сообщение, потому что он плохо знаком с севеном?.
Что удивляет - пока никаких других симптомов заражения кроме этого! Уже чем только не проверял (последняя попытка - removal tool 2011 Касперского) - ничего не находят. Где же эта пакость может сидеть?

Насчет совета позвать специалиста - он конечно очень разумный, но за таким советом я бы не обращался в такой уважаемый форум. Я уже не первый раз борюсь с заразой на компах и своих и чужих (впору самому объявления клеить :-) - но такой упорной еще не встречал. Специалист же тоже просто человек а не Гарри Поттер с волшебной палочкой - хочется узнать, что он теоретически мог бы попробовать и попробовать это самому.

В любом случае спасибо за Ваши другие очень дельные советы!

Anatoly PodgoretskyЧто такое CATCHME и какова степень доверия к нему.

такая мулька для обнаружения userland rootkits: cathme.exe. Предлагается на GMER-овской странице. Степень доверия ... хмм прежде чем запускать погуглил, вроде ничего плохого не нашел, хотя и особых успехов в его применении тоже. Решил что если GMER-у доверяю, то и его нужно попробовать. Но вот результаты не убеждают, подозреваю все-таки, что не подходит он для севена - уж очень много этих самых NTDLL code modification нашел.