Dosho 0 Опубликовано 16 сентября, 2011 Share Опубликовано 16 сентября, 2011 Доброго времени суток, у меня такая проблема, третий день немогу избавиться оттого, что самостоятельно меняется домашняя страница рамблера на вот это http://www.smaxxi.biz/ в свойствах обозревателя меняю на рамблер все в порядке но стоит перегрузить комп, и опять домашняя страница вот это смахх, сделал полную проверку касперским интернет секьюрити 2011 нашелся троян который успешно был удален и все, а проблема так и осталась, полез в реестр найти-ввел этот сайт, удалил значения где было http://www.smaxxi.biz/ F3 опять удалил значения перегрузил и 0 эффекта никак не избавиться от этого смахх, очень прошу Вашей помощи. прикпреляю логи virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
Dosho 0 Опубликовано 17 сентября, 2011 Автор Share Опубликовано 17 сентября, 2011 Пофиксил, сканировал, вот лог выключал компьютер, вот снова включил, и опять домашняя станица смаххх mbam_log_2011_09_17__16_12_21_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 Удалите в МВАМ только указанные строки Зараженные ключи в реестре: HKEY_CURRENT_USER\SOFTWARE\WINXGZ (Trojan.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\winxgz\exerunner (Trojan.Agent) -> Value: exerunner -> No action taken. Зараженные файлы: c:\documents and settings\1\application data\zipfreerun\winzipf.exe (Trojan.FakeSMS) -> No action taken. c:\documents and settings\1\рабочий стол\новая папка\avz4\infected\2011-09-16\avz00001.dta (Worm.Conficker) -> No action taken. c:\documents and settings\networkservice\local settings\temporary internet files\content.ie5\097vl36u\botldq[1].jpg (Extension.Mismatch) -> No action taken. Сделайте еще раз лог HiJack и, если в нем будут те же записи, что удалялись в сообщении №2, удалите их Если у Вас проблема не в Internet Explorer, а в Firefox, выполните написанное ниже Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Dosho 0 Опубликовано 17 сентября, 2011 Автор Share Опубликовано 17 сентября, 2011 (изменено) Сделал HiJack опять повились этот смахх снова пофисксил, удалил МВАМ, перегрузился комп и нечего не помогло, снова доманяя страница будь она не ладна смахх Проблема у меня имено с IE Изменено 17 сентября, 2011 пользователем Dosho Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 706 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 Сделал HiJack опять повились этот смахх снова пофисксил, удалил МВАМ, перегрузился комп и нечего не помогло, снова доманяя страница будь она не ладна смахх Проблема у меня имено с IE Прикрепите к сообщению то, что вас просили выше. Цитата Ссылка на сообщение Поделиться на другие сайты
Dosho 0 Опубликовано 17 сентября, 2011 Автор Share Опубликовано 17 сентября, 2011 Извините не понял что прикрепить? у меня проблема не с файрфокс а IE, я так понимаю тогда комбофикс качать не стоит, если касаеться лога HiJack то вот он, и после перезагрузки компа снова появляются эти R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
_Strannik_ 905 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 у меня проблема не с файрфокс а IE, я так понимаю тогда комбофикс качать не стоит, Нет не нужно. Цитата Ссылка на сообщение Поделиться на другие сайты
Dosho 0 Опубликовано 17 сентября, 2011 Автор Share Опубликовано 17 сентября, 2011 (изменено) делать МВАМ еще раз сканирование? Уже в отчаяньи, лазил по инету похожую проблему нашел может стоит выполнить что то в этом роде http://pchelpforum.ru/f26/t70236/ Изменено 17 сентября, 2011 пользователем Dosho Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 делать МВАМ еще раз сканирование? Вы должны были приложить лог сканирования после удаления в MBAM После удаления откройте лог и прикрепите его к сообщению. Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 И лог ComboFix все-таки подготовьте Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 17 сентября, 2011 Share Опубликовано 17 сентября, 2011 а также (дополнительно к 2-м предыдущим постам): Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\dllcache\fxscfgwz.dll',''); QuarantineFile('C:\Program Files\PotPlayer\potplayermini.exe',''); QuarantineFile('C:\Documents and Settings\1\Application Data\zipfreerun\*.*',''); QuarantineFile('C:\WINDOWS\system32\05.tmp',''); DeleteFile('C:\WINDOWS\system32\05.tmp'); DeleteFileMask('C:\Documents and Settings\1\Application Data\zipfreerun\ ','*.* ',true ,' '); DeleteDirectory('C:\Documents and Settings\1\Application Data\zipfreerun\ ',' '); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxgz'); DeleteService('tadbjy'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. + сделайте лог GMER http://forum.kasperskyclub.ru/index.php?sh...st&p=108482 Цитата Ссылка на сообщение Поделиться на другие сайты
Dosho 0 Опубликовано 18 сентября, 2011 Автор Share Опубликовано 18 сентября, 2011 Спасибо всем кто пытался помочь. Моя проблема решена Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 18 сентября, 2011 Share Опубликовано 18 сентября, 2011 Моя проблема решена очень сильно сомневаюсь. у Вас было ещё заражение Kido... логи Вы не предоставили. поэтому нельзя сказать, что система чистая. Цитата Ссылка на сообщение Поделиться на другие сайты
Тати 0 Опубликовано 18 сентября, 2011 Share Опубликовано 18 сентября, 2011 а как ты вылечил? а то у меня такая же проблема Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.