В качестве стартовой ставится smaxxi.biz во всех браузерах

[Jon-SC]

В качестве стартовой ставится smaxxi.biz во всех браузерах

подхватил троян при распаковке архива

запускал всевозможные скрипты для AVZ, вычистил подозрительные строки через хайджек , но зараза не уходит сигнализbрует о смене страницы Яндекс.защитник (praetorian.exe)

http://webfile.ru/5647858 virusinfo_syscure.zip

 

http://webfile.ru/5647859

hijackthis.log

http://webfile.ru/5647860

 

LiveCD Kaspersky 2010 не помог к сожалению.

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\Drivers\removeany.sys','');
QuarantineFile('C:\Windows\system32\Drivers\ujexndm1.sys','');
 DeleteFile('C:\Windows\system32\Drivers\ujexndm1.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через:данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Сделайте новые логи по правилам. - Порядок оформления запроса о помощи

[Jon-SC]

http://webfile.ru/5649387 mbam.log

[Tiare]

Сделайте новые логи по правилам. - Порядок оформления запроса о помощи

 

Прикрепите еще новые логи AVZ +RSIT.

При запуске утилит, не закрывайте браузеры.

 

 

 

Карантин отправили? Ответ приходил?

[Jon-SC]

Прикрепите еще новые логи AVZ +RSIT.

При запуске утилит, не закрывайте браузеры.

 

Карантин отправили? Ответ приходил?

Карантин отправил, ответа пока не было.

 

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что. Но раз есть атака, значит есть и атакующий.

 

http://webfile.ru/5649515 virusinfo_syscheck.zip свежий

http://webfile.ru/5649995 virusinfo_syscure.zi

 

http://webfile.ru/5650005 rsit log

[Roman_Five]

удалите папку c:\Users\Jon\AppData\Roaming\validzip\

 

деинсталлируйте MBAM

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что

если в хроме изменить стартовую страницу - она не сохраняется?

[Jon-SC]

удалите папку c:\Users\Jon\AppData\Roaming\validzip\

 

деинсталлируйте MBAM

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Цитата(Jon-SC @ 06.11.2011, 14:53)

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что

 

если в хроме изменить стартовую страницу - она не сохраняется?

 

удалил папку c:\Users\Jon\AppData\Roaming\validzip\

 

http://webfile.ru/5651195 osam.html

 

Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись.

Изменено 7 ноября, 2011 пользователем Jon-SC

[Tiare]

Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись.

Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете?

 

Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/

Изменено 7 ноября, 2011 пользователем Tiare

[Jon-SC]

Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете?

 

Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/

 

Нет, мне не видно какая программа пытается внести изменение. выдается предупреждение от Яндекс.Защитника, что стартовая страница изменена со стандартной на "smaxxi.biz". Сейчас перестало выдаваться предупреждение про Оперу, осталось лишь предупреждение про Google Crome и вместо smaxxi.biz выдает пустое название. При следующей перезагрузке сделаю скриншот.

 

Да, на том форуме писал, но почему-то перестали отвечать. Уже не знаю где и копать. Все перерыл. Не вижу где эта гадость осталась еще.

[Tiare]

Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте.

[Jon-SC]

Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте.

 

После перезагрузки компьютера снова выдает сообщение о попытке изменить страницу в Crome.

 

http://webfile.ru/5651872 скриншот сообщения

[Tiare]

Как вариант - переустановить Google Crome.

[Jon-SC]

Как вариант - переустановить Google Crome.

 

Т.е. могло прописаться в сам браузер?

[Tiare]

Могли остаться какие-то хвосты в системе, вы же пробовали решать проблему самостоятельно + выполняли скрипты с другого форума.

 

Деинсталлируйте через Пуск - Панель управления - Установка и удаление программ

 

 

Если ситуация не изменится, отпишитесь.

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

Изменено 7 ноября, 2011 пользователем Tiare

[Jon-SC]

Убрал все, переставил Crome, Яндекс.Защитник перестал ругаться. Спасибо за помощь.