Вирус переходит на СексМамбо

[JohnJ]

Раньше на этом компьютере переходил на Антиштраф, теперь стал на СексМамбо. Симптомы похожи: при нажатии на сайте в любом месте с некоторой вероятностью откроется дополнительное окно, в котором открывается сайт sex-mambo.net

Кроме того, при открытии браузера открывается "Поисковая система webalta", хотя я удалил все упоминания о ней в реестре (по поиску webalta), и все найденные файлы. Антивирус drweb cureit нашёл несколько угроз и удалил их, в том числе был модифицирован файл hosts, который содержал подмену на сайт одноклассников. Сейчас там остался файл host7 с содержимым

...

его можно удалить?

[Info_bot]

Уважаемый(ая) JohnJ, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[JohnJ]

Добрый вечер. Покопавшись в логах понадеялся, что получится исправить у самого. Но результат остался прежним: при запуске яндекс-браузера открывается окно с поисковиком Webalta. Время от времени перекидывает на мамбу.
Вот скрипты, которые я выполнял в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\021366~1.EXE', '');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\021366~1.EXE');
QuarantineFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe', '');
DeleteFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\3712168FdOh');

RebootWindows(true);
end.

Затем:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe','');
 DeleteFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe');
 AddToLog('Hosts file name = "' + GetHostsFileName + '"');
ClearHostsFile;
ExecuteRepair(10);
RebootWindows(true);
end.

И, наконец, увидев в логах RSIT, что файл c:\windows\xored.sys образован всего несколько дней назад, а на него ругался и AVZ в логах, решил выполнить такой скрипт:

Код:

begin
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\xored.sys','');
 DeleteFile('C:\Windows\xored.sys');
RebootWindows(true);
end.

Заметил ещё кое-что: вскоре после перезагрузки выскакивает табличка (бывает по нескольку раз):
Eset Smart Security - персональный файервол:
Обнаружена атака DNS cache poisoning
Удалённый IP-адрес 192.168.1.1

Новые логи прилагаю (от RSIT предыдущий лог, т.е. с xored.sys).

- - - Добавлено - - -

Табличка от Нода всплывает не после перезагрузки, а при запуске яндекс-браузера...

- - - Добавлено - - -

Прошу прощения за назойливость, но почему никто не хочет подсказать мне?

- - - Добавлено - - -

Ух ты! Выполнив следующий скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

обнаружил исчезновение перехода на мамбу!
Но проблема с вебальтой остаётся...

- - - Добавлено - - -

Будете смеяться, но после удаления из реестра вебальта всё-равно открывался. Оказалось, путь был прописан в ярлыках. Ваш сайт очень помог это определить вот этой темой http://virusinfo.info/showthread.php?t=121465&highlight=webalta.
Не смотря на то, что никто мне не помог, ваш сайт сделал нечто большее. Спасибо вам огромное!

- - - Добавлено - - -

Табличка с предупреждением НОДа тоже перестала выскакивать - тему можно закрывать.

[Techno]

Откуда скрипты взяли?

- Выполните в АВЗ:

Код:

begin
 QuarantineFile('C:\Windows\xored.sys','');
 DeleteFile('C:\Windows\xored.sys');
DeleteService('newdriver');
ExecuteRepair(10);
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

- Сделайте лог полного сканирования MBAM.

Проверьте ярлыки браузеров, там могла прописаться webalta.

[regist]

+ не советую заниматься самолечением.

QuarantineFile('C:\Windows\Temp\7ZipSfx.000\dotNet Fx40_Full_x86_x64\DW\DW20.exe', '');
DeleteFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40 _Full_x86_x64\DW\DW20.exe');

это чистый файл.