Решена - Перекидывает на internet.com

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем ugar613, 24 дек 2011.

  1. ugar613

    ugar613 Junior User

    Здравствуйте! Такой вирус я впервые вижу, сначала подумал, что провайдер шалит..
    Сделал все по "Инструкция по борьбе с вирусами!".
    Вот ссылки на файлы:
    http://zalil.ru/32364197 - hijackthis.log
    http://zalil.ru/32364212 - virusinfo_syscure.zip

    [mod="Nod"]
    Внимание посетителям форума!

    Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).

    Если вы вдруг обнаружили в системе следующие признаки:

    (Перекидывает на Internet.com или выдает исходный код "html" страницы)

    1. Сделайте Логи как показано в -
    2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

    После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
    [/mod]
     
  2. Nod

    Nod Moderator

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли

    3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
    Код:
    begin
     ClearHostsFile;
     DeleteFile('C:\Windows\system32\svhost.exe');
     DeleteFile('C:\Windows\system32\rqhsqff.dll');
     DeleteFile('d:\ba94453d304f217bf35316\DW\DW20.exe');
     RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
     RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\', 'Shell', 'Explorer.exe');
    BC_ImportAll;
     ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(16);
    RebootWindows(true);
    end.
    
    после выполнения скрипта компьютер перезагрузится.

    4. Пофиксите в HijackThis следующие строчки:

    Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

    Код:
    R3 - URLSearchHook: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
    F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
    O2 - BHO: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
    O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
    O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
    O2 - BHO: Rock-Online - {c03a9806-008b-401b-bb1e-60b839914aff} - C:\Program Files\Rock-Online\prxtbRock.dll
    O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
    O3 - Toolbar: (no name) - {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - (no file)
    O3 - Toolbar: Rock-Online Toolbar - {c03a9806-008b-401b-bb1e-60b839914aff} - C:\Program Files\Rock-Online\prxtbRock.dll
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
    O3 - Toolbar: (no name) - {1a894269-562d-459e-b17e-efd8de428e41} - (no file)
    O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - AppInit_DLLs: C:\Windows\system32\rqhsqff.dll
    
    5. Сделайте новые логи AVZ.

    6. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

    ugar613, если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  3. ugar613

    ugar613 Junior User

    Ссылку на лог к шестому пункту добавлю чуть позже.
    А пока что по четвертому пункту.
    Отсутствуют строки:
     
  4. Nod

    Nod Moderator

    Выполните следующий скрипт в AVZ:
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    В остальном, пока чисто. Лог MBAM посмотрим, как будет.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -
     
  5. ugar613

    ugar613 Junior User

    Хорошо, выполню данный Вами скрипт.
    Сейчас только закончу с пятым пунктом (около 10 минут). Да, вопрос может быть и глупый, но в пятом пункте нужно выбрать из уже готовых скриптов тот, что под номером три (т.е. тот, который сначала нужно было выбирать)?
     
  6. Nod

    Nod Moderator

    В 5 пункте, вам необходимо накинуть галочку на строке под номером 3 и нажать кнопку "Выполнить отмеченные скрипты"
     
  7. ugar613

    ugar613 Junior User

    Так и сделал. Найдено 8 уязвимостей, обновления позже загружу.
    Начал полное сканирование MBAM, 1 инфицированный обьект найден уже на второй минуте. Ссылку на лог выложу как только так сразу.
    Мм.. После шестого пункта проверять остался ли вирус простым открытием страниц в браузере (ибо антивирус ничего не находил.)?
    Да, забыл спросить сразу - этот вирус пароли не ворует (от почтовых ящиков и прочего)?
     
    Последнее редактирование: 25 дек 2011
  8. Nod

    Nod Moderator

    да, именно так.

    В целях профилактики, советую сменить пароли в приложениях и интернет-ресурсах.
     
  9. ugar613

    ugar613 Junior User

    Извините, намертво повис ноутбук.. На 45-ой минуте проверки, снова проверку запустил.
    Сейчас пробежался по десятку сайтов, нормально все грузятся (а главное, быстро). Хм, странно как-то.
     
  10. oleg

    oleg Expert Вирусоборец

    Ничего странного здесь нет.
    Вирус был удален после выполнения пунктов с 1 по 4.
    MBAM этот как дополнительное сканирование, на предмет присутствия сторонних паразитов.
     
  11. ugar613

    ugar613 Junior User

    Понятно.
    Лог скинуть удастся не раньше, чем через час. Ноутбук, к сожалению, слабенький, а винт практически весь забит файлами.
     
  12. oleg

    oleg Expert Вирусоборец

    Ничего страшного, утром по Москве посмотрим.
     
  13. ugar613

    ugar613 Junior User

    В этот раз сканирование закончилось "синим экраном смерти". Даже не знаю, что сделать. Может быть сюда хотя бы лог быстрого сканирования выложить? Или же только одного системного раздела, на котором обнаружено 4 инфицированных обьекта?

    Добавлю, что архив, с которым я скорее всего "словил" этот вирус, удален. Я открыл архив, компьютер сразу перезагрузился без всяких предупреждений и интернет стал плохо работать после этого. Архив я сразу удалил.

    Сейчас провел быстрое сканирование, нашлось только два инфицированных файла. Теперь провожу отдельную глубокую проверку второго раздела. Результаты быстрого сканирования залить на файлообменник? (Один из файлов угрозы не представляет, трейнер к игрушке и причем давным давно он у меня хранится).
     
    Последнее редактирование: 25 дек 2011
  14. oleg

    oleg Expert Вирусоборец

    что за объекты обнаружены, скопируйте суда ветки. Это могут быть кряки и прочий НЕ зараженный софт.
     
  15. ugar613

    ugar613 Junior User

    Вот:
    Файл под номером 2 угрозы не представляет, а вот про первый не знаю.
     
  16. oleg

    oleg Expert Вирусоборец

    1 строку необходимо удалить в MBAM(пометить галочкой и удалить).
    После чего Выполните следующий скрипт в AVZ:
    После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

    В остальном чисто. На этом лечение завершено.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -
     
  17. ugar613

    ugar613 Junior User

    Хорошо, удалю.
    Результаты глубокого сканирования второго раздела: только кряки/трейнеры.
    Удалил только один зараженный ключ из реестра.

    Спасибо Вам огромное за помощь в устранении вируса "internet.com", с обычными вирусами я встречался ни один раз, но такое вижу впервые и сам бы тут никак не разобрался, т.к. в скриптах вообще ничего не понимаю.
    Через неделю зарплата, обязательно отблагодарю вас!
     
  18. oleg

    oleg Expert Вирусоборец

    Пожалуйста, обращайтесь.
    Скажите каким способом благодарности собираетесь воспользоваться? (для статистики)

    Спасибо вам за понимание и последующую финансовую поддержку.
    Главное не забыть, в связи с бегатнёй под НГ, с наступающим вас!
     
  19. ugar613

    ugar613 Junior User

    Способом "Яндекс.Деньги", через терминал или банковскую карту.
    Спасибо! И Вас поздравляю с наступающим Новым Годом!
     

Поделиться этой страницей