Прошу Вашей помощи

[Dosho]

Доброго времени суток, у меня такая проблема, третий день немогу избавиться оттого, что самостоятельно меняется домашняя страница рамблера на вот это http://www.smaxxi.biz/ в свойствах обозревателя меняю на рамблер все в порядке но стоит перегрузить комп, и опять домашняя страница вот это смахх, сделал полную проверку касперским интернет секьюрити 2011 нашелся троян который успешно был удален и все, а проблема так и осталась, полез в реестр найти-ввел этот сайт, удалил значения где было http://www.smaxxi.biz/ F3 опять удалил значения перегрузил и 0 эффекта никак не избавиться от этого смахх, очень прошу Вашей помощи. прикпреляю логи

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz

 

Сделайте лог полного сканирования МВАМ

[Dosho]

Пофиксил, сканировал, вот лог

 

выключал компьютер, вот снова включил, и опять домашняя станица смаххх

mbam_log_2011_09_17__16_12_21_.txt

[thyrex]

Удалите в МВАМ только указанные строки

Зараженные ключи в реестре:
HKEY_CURRENT_USER\SOFTWARE\WINXGZ (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\winxgz\exerunner (Trojan.Agent) -> Value: exerunner -> No action taken.

Зараженные файлы:
c:\documents and settings\1\application data\zipfreerun\winzipf.exe (Trojan.FakeSMS) -> No action taken.
c:\documents and settings\1\рабочий стол\новая папка\avz4\infected\2011-09-16\avz00001.dta (Worm.Conficker) -> No action taken.
c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\097vl36u\botldq[1].jpg (Extension.Mismatch) -> No action taken.

 

Сделайте еще раз лог HiJack и, если в нем будут те же записи, что удалялись в сообщении №2, удалите их

 

Если у Вас проблема не в Internet Explorer, а в Firefox, выполните написанное ниже

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

[Dosho]

Сделал HiJack опять повились этот смахх снова пофисксил, удалил МВАМ, перегрузился комп и нечего не помогло, снова доманяя страница будь она не ладна смахх Проблема у меня имено с IE

Изменено 17 сентября, 2011 пользователем Dosho

[Mark D. Pearlstone]

Сделал HiJack опять повились этот смахх снова пофисксил, удалил МВАМ, перегрузился комп и нечего не помогло, снова доманяя страница будь она не ладна смахх Проблема у меня имено с IE

Прикрепите к сообщению то, что вас просили выше.

[Dosho]

Извините не понял что прикрепить? у меня проблема не с файрфокс а IE, я так понимаю тогда комбофикс качать не стоит, если касаеться лога HiJack то вот он, и после перезагрузки компа снова появляются эти R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz

hijackthis.log

[_Strannik_]

у меня проблема не с файрфокс а IE, я так понимаю тогда комбофикс качать не стоит,

Нет не нужно.

[Dosho]

делать МВАМ еще раз сканирование? Уже в отчаяньи, лазил по инету похожую проблему нашел может стоит выполнить что то в этом роде http://pchelpforum.ru/f26/t70236/

Изменено 17 сентября, 2011 пользователем Dosho

[Roman_Five]

делать МВАМ еще раз сканирование?

Вы должны были приложить лог сканирования после удаления в MBAM

После удаления откройте лог и прикрепите его к сообщению.

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[thyrex]

И лог ComboFix все-таки подготовьте

[Roman_Five]

а также (дополнительно к 2-м предыдущим постам):

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\dllcache\fxscfgwz.dll','');
QuarantineFile('C:\Program Files\PotPlayer\potplayermini.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\zipfreerun\*.*','');
QuarantineFile('C:\WINDOWS\system32\05.tmp','');
DeleteFile('C:\WINDOWS\system32\05.tmp');
DeleteFileMask('C:\Documents and Settings\1\Application Data\zipfreerun\ ','*.* ',true ,' ');
DeleteDirectory('C:\Documents and Settings\1\Application Data\zipfreerun\ ',' ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxgz');
DeleteService('tadbjy');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

+

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

[Dosho]

Спасибо всем кто пытался помочь. Моя проблема решена

[Roman_Five]

Моя проблема решена

очень сильно сомневаюсь. у Вас было ещё заражение Kido...

логи Вы не предоставили. поэтому нельзя сказать, что система чистая.

[Тати]

а как ты вылечил? а то у меня такая же проблема