Решена - перекидывает на Internet.com вирус

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем anastasy306, 26 окт 2011.

  1. anastasy306

    anastasy306 Junior User

    Последнее редактирование: 26 окт 2011
    anastasy306, 26 окт 2011
    #1
  2. Nod

    Nod Moderator

    Доброе время суток!

    1. Отключите антивирус/фаервол, интернет.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 DeleteFile('C:\Windows\system32\hngwsme.dll');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\enc_fhgaac.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\enc_flac.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\enc_flake.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\enc_lame.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\enc_wav.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\enc_wma.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\gen_hotkeys.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\gen_jumpex.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_avi.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_cdda.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_dshow.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_flac.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_flv.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_linein.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_midi.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_mkv.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_mod.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_mp3.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_mp4.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_nsv.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_swf.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_vorbis.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_wave.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\in_wm.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_devices.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_disc.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_local.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_online.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_plg.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_pmp.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\ml_rg.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\out_disk.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\out_ds.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\out_wave.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\pmp_android.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\pmp_ipod.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\pmp_usb.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\vis_avs.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\winamp.lng');
 DeleteFile('C:\Users\27C6~1\AppData\Local\Temp\WLZF086.tmp\winampa.lng');
 DeleteFile('D:\eb14be370d6ee9390e17b8f8\DW\DW20.exe');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Userinit', GetEnvironmentVariable  ('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
 ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\hngwsme.dll
    5. Сделайте новые логи AVZ и HijackThis

    6. Cделайте лог MBAM и дайте ссылку на файл лога.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? Если да, выполните следующее:
     
    Nod, 26 окт 2011
    #2
  3. anastasy306

    anastasy306 Junior User

    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) на это ошибку выдает
     
    anastasy306, 26 окт 2011
    #3
  4. oleg

    oleg Expert Вирусоборец

    Вирус более не беспокоит?
     
    oleg, 26 окт 2011
    #4
  5. anastasy306

    anastasy306 Junior User

    вроде нет)
     
    anastasy306, 27 окт 2011
    #5
  6. oleg

    oleg Expert Вирусоборец

    Отлично, выполните пункт 6.
     
    oleg, 27 окт 2011
    #6

Поделиться этой страницей