Здравствуйте! Такой вирус я впервые вижу, сначала подумал, что провайдер шалит.. Сделал все по "Инструкция по борьбе с вирусами!". Вот ссылки на файлы: http://zalil.ru/32364197 - hijackthis.log http://zalil.ru/32364212 - virusinfo_syscure.zip [mod="Nod"] Внимание посетителям форума! Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой). Если вы вдруг обнаружили в системе следующие признаки: (Перекидывает на Internet.com или выдает исходный код "html" страницы) 1. Сделайте Логи как показано в - 2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log). После чего, логи будут проанализированы и Вам будет предложен скрипт лечения. [/mod]
Доброе время суток! 1. Отключите антивирус/файрволл. 2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли 3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.) Код: begin ClearHostsFile; DeleteFile('C:\Windows\system32\svhost.exe'); DeleteFile('C:\Windows\system32\rqhsqff.dll'); DeleteFile('d:\ba94453d304f217bf35316\DW\DW20.exe'); RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', ''); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RebootWindows(true); end. после выполнения скрипта компьютер перезагрузится. 4. Пофиксите в HijackThis следующие строчки: Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе. Код: R3 - URLSearchHook: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file) F2 - REG:system.ini: Shell=C:\Windows\explorer.exe O2 - BHO: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file) O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL O2 - BHO: Rock-Online - {c03a9806-008b-401b-bb1e-60b839914aff} - C:\Program Files\Rock-Online\prxtbRock.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL O3 - Toolbar: (no name) - {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - (no file) O3 - Toolbar: Rock-Online Toolbar - {c03a9806-008b-401b-bb1e-60b839914aff} - C:\Program Files\Rock-Online\prxtbRock.dll O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll O3 - Toolbar: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file) O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - AppInit_DLLs: C:\Windows\system32\rqhsqff.dll 5. Сделайте новые логи AVZ. 6. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно! Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку. После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус? ugar613, если форум оказался полезен вам, пожалуйста, поддержите его работу -
Ссылку на лог к шестому пункту добавлю чуть позже. А пока что по четвертому пункту. Отсутствуют строки:
Выполните следующий скрипт в AVZ: После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется. В остальном, пока чисто. Лог MBAM посмотрим, как будет. Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -
Хорошо, выполню данный Вами скрипт. Сейчас только закончу с пятым пунктом (около 10 минут). Да, вопрос может быть и глупый, но в пятом пункте нужно выбрать из уже готовых скриптов тот, что под номером три (т.е. тот, который сначала нужно было выбирать)?
В 5 пункте, вам необходимо накинуть галочку на строке под номером 3 и нажать кнопку "Выполнить отмеченные скрипты"
Так и сделал. Найдено 8 уязвимостей, обновления позже загружу. Начал полное сканирование MBAM, 1 инфицированный обьект найден уже на второй минуте. Ссылку на лог выложу как только так сразу. Мм.. После шестого пункта проверять остался ли вирус простым открытием страниц в браузере (ибо антивирус ничего не находил.)? Да, забыл спросить сразу - этот вирус пароли не ворует (от почтовых ящиков и прочего)?
Извините, намертво повис ноутбук.. На 45-ой минуте проверки, снова проверку запустил. Сейчас пробежался по десятку сайтов, нормально все грузятся (а главное, быстро). Хм, странно как-то.
Ничего странного здесь нет. Вирус был удален после выполнения пунктов с 1 по 4. MBAM этот как дополнительное сканирование, на предмет присутствия сторонних паразитов.
Понятно. Лог скинуть удастся не раньше, чем через час. Ноутбук, к сожалению, слабенький, а винт практически весь забит файлами.
В этот раз сканирование закончилось "синим экраном смерти". Даже не знаю, что сделать. Может быть сюда хотя бы лог быстрого сканирования выложить? Или же только одного системного раздела, на котором обнаружено 4 инфицированных обьекта? Добавлю, что архив, с которым я скорее всего "словил" этот вирус, удален. Я открыл архив, компьютер сразу перезагрузился без всяких предупреждений и интернет стал плохо работать после этого. Архив я сразу удалил. Сейчас провел быстрое сканирование, нашлось только два инфицированных файла. Теперь провожу отдельную глубокую проверку второго раздела. Результаты быстрого сканирования залить на файлообменник? (Один из файлов угрозы не представляет, трейнер к игрушке и причем давным давно он у меня хранится).
1 строку необходимо удалить в MBAM(пометить галочкой и удалить). После чего Выполните следующий скрипт в AVZ: После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется. В остальном чисто. На этом лечение завершено. Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -
Хорошо, удалю. Результаты глубокого сканирования второго раздела: только кряки/трейнеры. Удалил только один зараженный ключ из реестра. Спасибо Вам огромное за помощь в устранении вируса "internet.com", с обычными вирусами я встречался ни один раз, но такое вижу впервые и сам бы тут никак не разобрался, т.к. в скриптах вообще ничего не понимаю. Через неделю зарплата, обязательно отблагодарю вас!
Пожалуйста, обращайтесь. Скажите каким способом благодарности собираетесь воспользоваться? (для статистики) Спасибо вам за понимание и последующую финансовую поддержку. Главное не забыть, в связи с бегатнёй под НГ, с наступающим вас!
Способом "Яндекс.Деньги", через терминал или банковскую карту. Спасибо! И Вас поздравляю с наступающим Новым Годом!
