Решена - переадресация на Internet.com

Добрый день! На днях я шарился в просторах интернета, в частности через Google, и на своё счастье нашёл себе проблему под названием троян. Дело в том, что ничего не скачивая, у меня появляется сообщение Центра Поддержки с проблемой, которую я даже не успел просмотреть - компьютер самоперезагрузился. В Центре Поддержки я узрил, что в мой компьютер проник некий троян. В течении первых же секунд я поместил этот вирус на карантин, после чего удалил его с компьютера. Потом я открыл браузер Opera, с которого я осуществляю просмотр страниц, и заметил, что страницы просто перестали загружаться. При переходе не некоторые сайты браузер выдавал мне код самого сайта, либо перемещал меня на некий подозрительный сайт internet.com. Поняв, что я подцепил что-то страшное, я проверил остальные браузеры: IE и Google Chrome. Из них более менее работает лишь IE. Хром, вообще, не загружает страницы, врочем, как и Opera. Причем, все браузеры ужасно тормозят и зависают. Искав вирусы, я наудалял их целую кучу. После чего переадресовка на сайт internet.com закончилась, но страницы так же не загружаются.

Логи:
http://rghost.ru/34054621
http://rghost.ru/34056981


[mod="Nod"]

Внимание посетителям форума!

Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).​

Если вы вдруг обнаружили в системе следующие признаки:

(Перенаправляет на Internet.com или выдает исходный код "html" страницы)

1. Сделайте Логи как показано в -
2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
[/mod]

 

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически   закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера   подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearHostsFile;
 TerminateProcessByName('C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe');
 TerminateProcessByName('C:\Program Files\SUPERAntiSpyware\SASCore64.exe');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SASCore64.exe');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe');
 DeleteFile('C:\Windows\system32\kxnzimd.dll');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS');
 DeleteFile('C:\Users\user\AppData\Local\Temp\0.6098547312020091.exe');
 DeleteFile('C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3087442283-1208859730-654078516-1000Core.job');
 DeleteFile('C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3087442283-1208859730-654078516-1000UA.job');
 DeleteService('SASDIFSV');
 DeleteService('SASKUTIL');
 DeleteService('!SASCORE');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.foxtab.com/?s=0&chnl=tst01&cd=2XzutAtN2Y1L1Qzu0CzztD0A0Azy0EtC0CtBzy0F0D0F0FtD0EtN0D0TzutBtDtCtCtCtCtDyB&cr=1030440257
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 217.174.241.130:80
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files (x86)\Ask.com\Updater\Updater.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\мип\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O20 - AppInit_DLLs: C:\Windows\system32\kxnzimd.dll
O23 - Service: SAS Core Service (!SASCORE) - SUPERAntiSpyware.com - C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE

5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM и дайте ссылку на файл лога.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

 

Почему при выполнении написанного вами скрипта у меня зависает программа?

 

На каком этапе происходит зависание и зависание ли это вообще(мб. стоит подождать автоматической перезагрузки) ?

 

После того как я нажимаю "запустить".

 

Немного изменил скрипт, выполните такой:

Код:

begin
 ClearHostsFile;
 TerminateProcessByName('C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe');
 TerminateProcessByName('C:\Program Files\SUPERAntiSpyware\SASCore64.exe');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SASCore64.exe');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe');
 DeleteFile('C:\Windows\system32\kxnzimd.dll');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS');
 DeleteFile('C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS');
 DeleteFile('C:\Users\user\AppData\Local\Temp\0.6098547312020091.exe');
 DeleteFile('C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3087442283-1208859730-654078516-1000Core.job');
 DeleteFile('C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3087442283-1208859730-654078516-1000UA.job');
 DeleteService('SASDIFSV');
 DeleteService('SASKUTIL');
 DeleteService('!SASCORE');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Отпишитесь, выполнился ли скрипт?

 

Да, скрипт выполнился

 

Выполняйте далее, пункты 4, 5, 6

 

Дело в том, что ESET Nod 32 всё таки обнаружил и удалил это вирус. Мне стоит дальше делать логи?

 

Вирус удалил 3 скрипт, который вы выполнили. Так что выполняйте логи дальше.

 

Будет ли достаточно сканирования локального диска?

[mod="Nod"]

Внимание посетителям форума!

Скрипт для лечения СТРОГО индивидуален (для каждого заражения он свой).​

Если вы вдруг обнаружили в системе следующие признаки:

(Перекидывает на Internet.com или выдает исходный код "html" страницы)

1. Сделайте Логи как показано в -
2. Создайте тему в разделе по борьбе с вирусами, с описанием проблемы и ссылками на логи утилит AVZ и HiJackThis (virusinfo_syscure.zip, hijackthis.log).

После чего, логи будут проанализированы и Вам будет предложен скрипт лечения.
[/mod]

 

Рекомендуется все имеющиеся диски, включая подсоединенные флеш накопители.

 

После удаления этого вируса стали подтормаживать браузеры. С чем это может быть связано?

 

Конкретные браузеры?

 

Выполните пункты 5 и 6.

 

Opera, Google Chrome

 

Выполняются

 

А пока, удалите данные браузеры через установку и удаление программ, скачайте последние версии с сайтов разработчиков и установите их.

 

Не помогло

 

Жду логов.