яндекс защитник

[holden_]

привет всем ! Помогите пожалуйста. Корочь такая фигня: скачал я один архив.exe. по вирусам проверил его -чисто. после распаковки стала вылазить фигня. Проверил комп на вирусы -чисто. не могу от нее избавиться.

Время от времени она оповещает что домашняя страница изменилась на smaxl.net

Сообщение от модератора MedvedevUnited

Тема перемещена из раздела "Помощь по продуктам Лаборатории Касперского".

Изменено 10 июня, 2011 пользователем MedvedevUnited

[Urotsuki]

Нужны логи AVZ и HiJackThis по этим правилам.

[holden_]

аха . вот логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Леонид, выполните:

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\333\Application Data\archsoft\*.*','');
 DeleteFileMask('C:\Documents and Settings\333\Application Data\archsoft\ ','*.* ',true ,' ');
DeleteDirectory('C:\Documents and Settings\333\Application Data\archsoft\',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxarj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net
O4 - HKLM\..\Run: [winxarj] "C:\Documents and Settings\333\Application Data\archsoft\archstart.exe" autostart

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Изменено 10 июня, 2011 пользователем thyrex

[holden_]

спасибо огромное ! так это вирус или что ?

 

 

ошибка при выполнении скрипта

 

Пипец. тему переместили в раздел где никого нет )

[Urotsuki]

ошибка при выполнении скрипта

В конце шестой строки нужно поставить точку с запятой.

[Roman_Five]

holden_, сори.

выполняйте скрипт.

его уже поправил thyrex, за что ему большое Спасибо!

 

не забудьте про новые логи и лог MBAM

[holden_]

все сделал, но эта байда не пропала . изменился адрес домашней страницы только

как только в свойствах обозревателя браузера меняешь домашнюю страницу на пустую выползает эта дрянь

Строгое предупреждение от модератора Mark D. Pearlstone

Не выкладывайте автокарантин на форум. Файл удалён.

mbam_log_2011_06_11__00_29_27_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 11 июня, 2011 пользователем Mark D. Pearlstone

[Roman_Five]

но эта байда не пропала

Вы хотите это убрать?

Win+R

msconfig

автозагрузка

снимите галочку напротив praetorian.exe

 

Удалите в MBAM:

 

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.

Зараженные файлы:
c:\documents and settings\333\application data\archsoft\winzipp.exe (Trojan.FakeSMS) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Следующие файлы проверьте на virustotal.com

c:\program files\byteometer\byteometer.exe (Trojan.AVKiller.Gen) -> No action taken.
d:\Games\call of duty 7 black ops (2010)\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> No action taken.
d:\Games\call of duty 7 black ops (2010)\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> No action taken.
d:\Games\call of duty 7 black ops (2010)\Phx_data\Res\RICO.exe (Backdoor.Bot) -> No action taken.
d:\Games\call of duty 7 black ops (2010)\Phx_data\Res\ss.exe (Backdoor.Bot) -> No action taken.
d:\Games\Mafia 2\pc\mafia 2 crackfix.exe (PUP.Hacktool.Patcher) -> No action taken.

 

6 ссылок на результаты проверок приложите.

 

 

 

 

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

[holden_]

Прошу прощения за автокарантин! я не знал.

Из автозагрузки убрал. Можно ли его безболезненно удалисть из системы ?

 

вчера после сканирования MBAM все удалил. осталась только эта :

http://www.virustotal.com/file-scan/report...4a69-1306892414

сейчас еще раз выполню полное сканирование и отправлю его лог

Обновления виндоус на днях скачаю

спасибо !

 

------------------------

сканирование показало что все чисто

[Roman_Five]

Можно ли его безболезненно удалисть из системы ?

удалите файл

C:\Documents and Settings\333\Local Settings\Application Data\Yandex\Updater\praetorian.exe

почистите реестр с помощью CCleaner

 

Деинсталлируйте MBAM

[holden_]

Спасибо ! так и хотел сделать ! но без вашего совета не решался !

на 3 летии фан клуба жили в одном номере. чувак из бреста )

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=34676