Открытие my-eromir.net в новом окне при переходе по ссылкам

**einy239** · 27.12.2012, 01:18

Периодически происходит открытие сайта my-eromir.net в новом окне Firefox при переходе по ссылкам.

Установленный в системе NOD32 опасности не увидел.
DrWeb CureIt! ничего не нашел.

После восстановления перехваченных функций с помощью запуска avz, NOD32 "проснулся" и изолировал несколько файлов вида <странное имя>.sys. Также в файле hosts стали видны "нехорошие" записи. После того, как я удалил эти записи из hosts и перезагрузил компьютер, компьютер снова стал зараженным (переходы по ссылкам, маскировка лишних записей в hosts).

Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.12.2012, 01:26

Уважаемый(ая) einy239, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 27.12.2012, 10:27

Правила

* Обязательно нужно запускать данные программы с правами администратора. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому необходимо нажать правой кнопкой на программу, выбрать пункт "Запустить от имени администратора" (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку "OK".

Таким образом логи делали ?
Сделайте логи RSIT + Сделайте лог быстрого сканирования MBAM

**einy239** · 27.12.2012, 14:45

После установки Windows 7 я сразу же понизил уровень UAC для Администратора, видимо, этого было недостаточно?

Я пересоздал все логи так, как Вы сказали - запуская программы от имени Администратора.

Update: появилась блокировка браузеров ("Содержимое сайта заблокировано, для разблокировки необходимо пройти процедуру активации"), раньше ее не было!

**mrak74** · 27.12.2012, 15:02

Пофиксите в HijackThis:

Код:

O1 - Hosts: 37.10.117.75 www.google-analytics.com counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com
O1 - Hosts: 37.10.117.76 www.odnoklassniki.ru vk.com my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru m.odnoklassniki.ru

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\tasks\At1.job','');
 QuarantineFile('C:\Users\Boris Efremov\AppData\Local\Temp\~nsu.tmp\Au_.exe','');
 DeleteFile('C:\Windows\tasks\At1.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )