Перейти к содержанию
Правила раздела

В качестве стартовой ставится smaxxi.biz во всех браузерах

Jon-SC

Автор Jon-SC
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Jon-SC

Jon-SC

Опубликовано
Опубликовано

В качестве стартовой ставится smaxxi.biz во всех браузерах

подхватил троян при распаковке архива

запускал всевозможные скрипты для AVZ, вычистил подозрительные строки через хайджек , но зараза не уходит сигнализbрует о смене страницы Яндекс.защитник (praetorian.exe)

http://webfile.ru/5647858 virusinfo_syscure.zip

 

http://webfile.ru/5647859

hijackthis.log

http://webfile.ru/5647860

 

LiveCD Kaspersky 2010 не помог к сожалению.

Ссылка на комментарий
Поделиться на другие сайты
icotonev

icotonev

Опубликовано
Опубликовано

Здравствуйте..!

 

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\Drivers\removeany.sys','');
QuarantineFile('C:\Windows\system32\Drivers\ujexndm1.sys','');
 DeleteFile('C:\Windows\system32\Drivers\ujexndm1.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через:данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Сделайте новые логи по правилам. - Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано
Сделайте новые логи по правилам. - Порядок оформления запроса о помощи

 

Прикрепите еще новые логи AVZ +RSIT.

При запуске утилит, не закрывайте браузеры.

 

 

 

Карантин отправили? Ответ приходил?

Ссылка на комментарий
Поделиться на другие сайты
Jon-SC

Jon-SC

Опубликовано
  • Автор
Опубликовано
Прикрепите еще новые логи AVZ +RSIT.

При запуске утилит, не закрывайте браузеры.

 

Карантин отправили? Ответ приходил?

Карантин отправил, ответа пока не было.

 

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что. Но раз есть атака, значит есть и атакующий.

 

http://webfile.ru/5649515 virusinfo_syscheck.zip свежий

http://webfile.ru/5649995 virusinfo_syscure.zi

 

http://webfile.ru/5650005 rsit log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите папку c:\Users\Jon\AppData\Roaming\validzip\

 

деинсталлируйте MBAM

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что

если в хроме изменить стартовую страницу - она не сохраняется?

Ссылка на комментарий
Поделиться на другие сайты
Jon-SC

Jon-SC

Опубликовано
  • Автор
Опубликовано (изменено)
удалите папку c:\Users\Jon\AppData\Roaming\validzip\

 

деинсталлируйте MBAM

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Цитата(Jon-SC @ 06.11.2011, 14:53)

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что

 

если в хроме изменить стартовую страницу - она не сохраняется?

 

удалил папку c:\Users\Jon\AppData\Roaming\validzip\

 

http://webfile.ru/5651195 osam.html

 

Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись.

Изменено пользователем Jon-SC
Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано (изменено)
Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись.

Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете?

 

Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Jon-SC

Jon-SC

Опубликовано
  • Автор
Опубликовано
Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете?

 

Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/

 

Нет, мне не видно какая программа пытается внести изменение. выдается предупреждение от Яндекс.Защитника, что стартовая страница изменена со стандартной на "smaxxi.biz". Сейчас перестало выдаваться предупреждение про Оперу, осталось лишь предупреждение про Google Crome и вместо smaxxi.biz выдает пустое название. При следующей перезагрузке сделаю скриншот.

 

Да, на том форуме писал, но почему-то перестали отвечать. Уже не знаю где и копать. Все перерыл. Не вижу где эта гадость осталась еще.

Ссылка на комментарий
Поделиться на другие сайты
Jon-SC

Jon-SC

Опубликовано
  • Автор
Опубликовано
Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте.

 

После перезагрузки компьютера снова выдает сообщение о попытке изменить страницу в Crome.

 

http://webfile.ru/5651872 скриншот сообщения

Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано (изменено)

Могли остаться какие-то хвосты в системе, вы же пробовали решать проблему самостоятельно + выполняли скрипты с другого форума.

 

Деинсталлируйте через Пуск - Панель управления - Установка и удаление программ

 

 

Если ситуация не изменится, отпишитесь.

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
    • Alhena
      [РЕШЕНО] В браузере Google самопроизвольно открывается вкладка
      Автор Alhena
      Добрый день. Вчера во время игры (был открыт браузер Google), т.е я в данный момент играли и свернула игру. Заметила что покраснела иконка Кis. ОБыл обнаружен скрипт какого то трояна и архивы с адресом в гугле, все удалила, троян вылечился.  Но сейчас периодически открывается в браузере страница Crosspilot.io с предложением поставитьк какое то расширение для оперы в гугл. Может кто сталкивался и как с этим бороться? Пока поставила тот сайт в блокировку. Не знаю поможет ли.
    • Galegan
      Какие драйвера обязательно нужно ставить на материнскую плату B760M DS3H
      Автор Galegan
      Здравствуйте! Подскажите какие нужно обязательно ставить драйвера из списка чипсета на материнскую плату GIGABYTE B760M DS3H? В диспетчере устройств показывает вопросительными знаками на устройства PCI. Процессор i5 13400F, OS Windows 10.
       


    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
×
×
  • Создать...