Добрый вечер. Покопавшись в логах понадеялся, что получится исправить у самого. Но результат остался прежним: при запуске яндекс-браузера открывается окно с поисковиком Webalta. Время от времени перекидывает на мамбу.
Вот скрипты, которые я выполнял в AVZ:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\021366~1.EXE', '');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\021366~1.EXE');
QuarantineFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe', '');
DeleteFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe');
DeleteFile('C:\Users\836D~1\AppData\Local\Temp\3712168FdOh');
RebootWindows(true);
end.
Затем:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe','');
DeleteFile('C:\Windows\Temp\7ZipSfx.000\dotNetFx40_Full_x86_x64\DW\DW20.exe');
AddToLog('Hosts file name = "' + GetHostsFileName + '"');
ClearHostsFile;
ExecuteRepair(10);
RebootWindows(true);
end.
И, наконец, увидев в логах RSIT, что файл c:\windows\xored.sys образован всего несколько дней назад, а на него ругался и AVZ в логах, решил выполнить такой скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\xored.sys','');
DeleteFile('C:\Windows\xored.sys');
RebootWindows(true);
end.
Заметил ещё кое-что: вскоре после перезагрузки выскакивает табличка (бывает по нескольку раз):
Eset Smart Security - персональный файервол:
Обнаружена атака DNS cache poisoning
Удалённый IP-адрес 192.168.1.1
Новые логи прилагаю (от RSIT предыдущий лог, т.е. с xored.sys).
- - - Добавлено - - -
Табличка от Нода всплывает не после перезагрузки, а при запуске яндекс-браузера...
- - - Добавлено - - -
Прошу прощения за назойливость, но почему никто не хочет подсказать мне?
- - - Добавлено - - -
Ух ты! Выполнив следующий скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
обнаружил исчезновение перехода на мамбу!
Но проблема с вебальтой остаётся...
- - - Добавлено - - -
Будете смеяться, но после удаления из реестра вебальта всё-равно открывался. Оказалось, путь был прописан в ярлыках. Ваш сайт очень помог это определить вот этой темой http://virusinfo.info/showthread.php?t=121465&highlight=webalta.
Не смотря на то, что никто мне не помог, ваш сайт сделал нечто большее. Спасибо вам огромное!
- - - Добавлено - - -
Табличка с предупреждением НОДа тоже перестала выскакивать - тему можно закрывать.