Решена - internet.com вирус, как удалить?(о наболевшем)

dorg2k · 16 янв 2012

Симптомы те же, что и у остальных. Выбрасывает на данный сайт. Мешает нормальной работе.
hijackthis.log - http://webfile.ru/5771923
virusinfo_syscure.zip - http://webfile.ru/5771935

oleg · 16 янв 2012

Доброе время суток!

1. Отключите антивирус/файрволл.

2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт -- в открывшееся окно вставляем -- ниже написанный скрипт -- и нажимаем - Запустить.)
Код:
begin
 QuarantineFile('D:\Documents and Settings\Ariel\Start Menu\Programs\Startup\bbJwc33A6hs.exe','');
 QuarantineFile('D:\Documents and Settings\Ariel\Start Menu\Programs\Startup\UXhdwK0ZRME.exe','');
 QuarantineFile('D:\Documents and Settings\Ariel\Application Data\Okil\akzyu.exe','');
 DeleteFile('D:\WINDOWS\system32\nquuwii.dll');
 DeleteFile('D:\Documents and Settings\Ariel\Application Data\Okil\akzyu.exe');
 DeleteFile('D:\Documents and Settings\Ariel\Start Menu\Programs\Startup\UXhdwK0ZRME.exe');
 DeleteFile('D:\Documents and Settings\Ariel\Start Menu\Programs\Startup\bbJwc33A6hs.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
 RegKeyStrParamWrite('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
BC_ImportAll;
 ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

4. Пофиксите в HijackThis следующие строчки:

Внимание: некоторые строки могут отсутствовать, это нормально, просто сообщите какие не нашли при фиксе.
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: MyCentria Internet Mate v2.1 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O4 - Startup: bbJwc33A6hs.exe
O4 - Startup: UXhdwK0ZRME.exe
O20 - AppInit_DLLs: D:\WINDOWS\system32\nquuwii.dll
5. Сделайте новые логи AVZ.

6. Cделайте лог MBAM (подробнее) и дайте ссылку на файл лога. *выполнять обязательно!
Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

После выполнения всех пунктов (1 по 6) проверьте, остался ли вирус?

dorg2k, если форум оказался полезен вам, пожалуйста, поддержите его работу -
Нажмите, чтобы раскрыть...

dorg2k · 16 янв 2012

Спасибо за оперативную помощь.
При попытке запустить скрипт в avz выдает ошибку: ')' expected в позиции 9:16

oleg · 16 янв 2012

Поправил, еще раз скопируйте скрипт из пункта 3.

dorg2k · 16 янв 2012

Спасибо!
Выкладываю логи avz и лог проверки MBAM

virusinfo_syscure.zip - http://webfile.ru/5772281
лог MBAM - http://webfile.ru/5772287

При фиксе HijackThis отсутствовали строки:
O4 - Startup: bbJwc33A6hs.exe
O4 - Startup: UXhdwK0ZRME.exe
O20 - AppInit_DLLs: D:\WINDOWS\system32\nquuwii.dll

Вроде вирус больше не беспокоит. Стоит ли сменить пароли на почте и других порталах?

oleg · 16 янв 2012

Удалите в МВАМ следующие строки:

Обнаруженные ключи в реестре:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C} (Trojan.Vundo) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D64F819-9380-8473-DAB2-702FCB3D7A3E} (Trojan.Ransom) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} (Adware.MyCentria) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKLM\SOFTWARE\MyCentria (Adware.MyCentria) -> Действие не было предпринято.
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyCentria (Adware.MyCentria) -> Действие не было предпринято.

Обнаруженные параметры в реестре:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{F8D5E8F1-0755-023F-D115-8D940BF61E07} (Trojan.ZbotR.Gen) -> Параметры: "D:\Documents and Settings\Ariel\Application Data\Okil\akzyu.exe" -> Действие не было предпринято.

Обнаруженные папки:
D:\Program Files\MyCentria (Adware.MyCentria) -> Действие не было предпринято.
D:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> Действие не было предпринято.
D:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> Действие не было предпринято.

Обнаруженные файлы:
D:\Documents and Settings\Ariel\Application Data\winzipsoft\winzipn.exe (Trojan.FakeSMS) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\Application Data\winzipsoft\wzipstart.exe (Trojan.FakeSMS) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\Local Settings\Application Data\Thinstall\Cache\Stubs\73cf23e3d8a916e3124cdd4157d67af24b6f876\avep.exe (Trojan.Backdoor) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\My Documents\Загрузки\Bannershop_Gif_Animator_5_Crack.zip.exe (PUP.SmsPay) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\My Documents\Загрузки\Crack.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\My Documents\Загрузки\Plants_vs_zombies_2_Returning_of_Zomboboss_2_chast_.zip.exe (PUP.SmsPay.Gen) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\My Documents\Загрузки\WinZip_14.5.exe.part (PUP.SmsPay) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\My Documents\Загрузки\zombies_vs_plants_2.zip.exe (Trojan.FakeSMS) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\My Documents\Загрузки\avz4\avz4\Quarantine\2012-01-16\avz00001.dta (Trojan.FakeSMS) -> Действие не было предпринято.
D:\Distrib\FontLab Studio v5.04\FontLab.Studio5.04\Crack\Studio5.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Distrib\PS CS3\Keygen\keygen.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\Distrib\ADOBE_CS4_ALL\Soft\Adobe ColdFusion Enterprise 8.0\Keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Distrib\ADOBE_CS4_ALL\Soft\Adobe CS4 Master Collection\Keygen\adobe-master-cs4-keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\Distrib\ADOBE_CS4_ALL\Soft\Adobe Photoshop Elements v7.0\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Distrib\ADOBE_CS4_ALL\Soft\Adobe Premiere Elements 7.0\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Distrib\N32_3.0.414_RC1\N32_3.0.414_RC1\Patch\Nod32Patch.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Distrib\Photoshop CS2\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Distrib\Photoshop CS2\Register.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Distrib\Photoshop CS2\PANTHEON\keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\games\Anabel.[torrents.ru]\WrapperInstall.exe (Spyware.Banker) -> Действие не было предпринято.
D:\games\magic_farm_ultimate\DeNevosoft.v2\DeNevosoft.v2.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\games\Paradise Beach.[torrents.ru]\WrapperInstall.exe (Spyware.Banker) -> Действие не было предпринято.
D:\Program Files\Игры от NevoSoft\Unicorn Castle\WrapperInstall.exe (Spyware.Banker) -> Действие не было предпринято.
D:\System Volume Information\_restore{FC2B1923-03C7-46CB-851B-CBA4CDCD448A}\RP901\A0678043.exe (Trojan.Vundo) -> Действие не было предпринято.
D:\System Volume Information\_restore{FC2B1923-03C7-46CB-851B-CBA4CDCD448A}\RP901\A0678044.exe (Trojan.Vundo) -> Действие не было предпринято.
D:\Documents and Settings\Ariel\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
D:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
D:\Program Files\MyCentria\MyCentriaUninstall.exe (Adware.MyCentria) -> Действие не было предпринято.
Нажмите, чтобы раскрыть...

Выполните следующий скрипт в AVZ:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
Нажмите, чтобы раскрыть...

После того как скрипт отработает, если будут найдены уязвимости, то в блокноте откроется файл avz_log.txt со ссылками на обновления, которые нужно загрузить и установить. Если ничего обновлять не надо, AVZ просто закроется.

В остальном чисто. На этом лечение завершено.

dorg2k, Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его -
Нажмите, чтобы раскрыть...

Войти или зарегистрироваться

Решена - internet.com вирус, как удалить?(о наболевшем)

dorg2k Newbie

oleg Expert Вирусоборец

dorg2k Newbie

oleg Expert Вирусоборец

dorg2k Newbie

oleg Expert Вирусоборец

Поделиться этой страницей

Войти или зарегистрироваться

Решена - internet.com вирус, как удалить?(о наболевшем)

dorg2k Newbie

oleg Expert Вирусоборец

dorg2k Newbie

oleg Expert Вирусоборец

dorg2k Newbie

oleg Expert Вирусоборец

Поделиться этой страницей

Быстрый поиск