Internet Explorer не находит сайты, вирус или...?

[Irina786]

удалила все файлы помеченные как зараженные (только не рискнула трогать svchost.exe). После перезагрузки ни кажется один не возродился. 6 параметров реестра которые имеют отношение к процессу О17 я тоже не трогала т к не умею совершенно работать с реестром и боюсь что могу напортить там больше чем любой вирус

[Rene-gad]

Ну я же просил - ВСЕ удалить.

[Irina786]

прошу прощенья. Думала что файл с таким названием так просто не удалится.

[Rene-gad]

Очистите темп-папки, кэш проводников и корзину. После этого очень прошу: Все, что найдет MalwareBytes - отметить к удалению и удалить.

Думала что файл с таким названием так просто не удалится.

Причем тут название? Он лежит не в той папке, в которой должен лежать настоящий.

[Irina786]

Дело в том что я не знаю как и чем удалять ключи и параметры реестра. В этой программе я не вижу функции "выделить и удалить". Все файлы я вручную из папки system32 удаляла

[Rene-gad]

В этой программе я не вижу функции "выделить и удалить".

Когда MBAM заканчивает сканирование, то дает пользователю возможность, замаркировать и удалить найденное малваре.

[Irina786]

MBAM полностью удалил все зараженные записи, и показал абсолютный 0 заражений. но при подключении к сети Hijackthis опять показал процесс О17. Тогда я просканировала MBAM при включенной сети и IE. В результате нашлись еще 2 записи в реестре про тот же DNCChanger но с немного другими параметрами. Их видно только при работе в сети

[Rene-gad]

В результате нашлись еще 2 записи в реестре про тот же DNCChanger но с немного другими параметрами. Их видно только при работе в сети

Удалите их, перегруэитесь, соединитесь с сетью, повторите сканирование MBAM.

[Irina786]

удаляла два раза
1 перед самым удалением отключалась от сети
2 без отключения

IE не был запущен (записи находятся и без него). В обоих случаях программа сообщила что записи удалены. после перезагрузки ситуация не изменилась. При прошлом лечении он тоже был у меня, я проверила все файлы и процессы, которые тогда удалялись, ни одного из них сейчас нету. один раз он сам перестал блокировать сайты непонятно из-за чего, потом опять также непонятно из-за чего включился (до лечения). Этот вирус похож на самовозрождающиеся грабли. Но конечно не смертельный. Наверно придется с ним жить. Он слишком хитро спрятал свою тушку.

[V_Bond]

выполните скрипт

Код:

begin
 QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
 QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
end.

пришлите карантин согласно приложения 3 правил

[Irina786]

карантин отправлен.

[Rene-gad]

Но конечно не смертельный. Наверно придется с ним жить.

Очень неверный подход: Если кто-то получает доступ к Вашему ПК без Вашего на то разрешения, то это более не Ваш ПК. Нужно переустановить систему начисто.

aticlocklib.dll,
nwiz.exe_

No malicious code were found in these files.

[Irina786]

Да в принципе конечно чтобы действительно окончательно ликвидировать это, надо переустановить ОС, и наверно лучше с предварительным форматированием. Для меня это значит что надо везти компьютер в мастерскую, а зловред относительно безвреден внешне, я это имела в виду

Еще раз ОГРОМНОЕ спасибо всем хелперам!

ПС кстати в свойствах протокола TCP/IP эта гадость прописала свой DNC как альтернативный... Может выбрать "получать адрес DNC автоматически?"

Да!!! Это был его последний кусок тушки! Зловред убит! После пререзагрузки компьютера процесс О17 имеет другой адрес и я полагаю правильный - все сайты открываются, ошибок DNC нет

Я безумно всем благодарна, теперь я знаю как с ним бороться, здесь таких смайлов нет для моих эмоций
Ой к сожалению вовремя не посмотрела тему и старые логи уже удалились. Но зараженные ключи\параметры реестра отсутствуют и обновление Windows работает нормально. Т е никаких жалоб. Еще раз спасибо

[pig]

Сделайте контрольный выстрел. В смысле, полный комплект логов, дабы убедиться, что зараза изведена.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены