Перейти к содержанию
Авторизация  
Jon-SC

В качестве стартовой ставится smaxxi.biz во всех браузерах

Рекомендуемые сообщения

В качестве стартовой ставится smaxxi.biz во всех браузерах

подхватил троян при распаковке архива

запускал всевозможные скрипты для AVZ, вычистил подозрительные строки через хайджек , но зараза не уходит сигнализbрует о смене страницы Яндекс.защитник (praetorian.exe)

http://webfile.ru/5647858 virusinfo_syscure.zip

 

http://webfile.ru/5647859

hijackthis.log

http://webfile.ru/5647860

 

LiveCD Kaspersky 2010 не помог к сожалению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте..!

 

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\Drivers\removeany.sys','');
QuarantineFile('C:\Windows\system32\Drivers\ujexndm1.sys','');
 DeleteFile('C:\Windows\system32\Drivers\ujexndm1.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через:данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Сделайте новые логи по правилам. - Порядок оформления запроса о помощи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сделайте новые логи по правилам. - Порядок оформления запроса о помощи

 

Прикрепите еще новые логи AVZ +RSIT.

При запуске утилит, не закрывайте браузеры.

 

 

 

Карантин отправили? Ответ приходил?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Прикрепите еще новые логи AVZ +RSIT.

При запуске утилит, не закрывайте браузеры.

 

Карантин отправили? Ответ приходил?

Карантин отправил, ответа пока не было.

 

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что. Но раз есть атака, значит есть и атакующий.

 

http://webfile.ru/5649515 virusinfo_syscheck.zip свежий

http://webfile.ru/5649995 virusinfo_syscure.zi

 

http://webfile.ru/5650005 rsit log

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

удалите папку c:\Users\Jon\AppData\Roaming\validzip\

 

деинсталлируйте MBAM

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что

если в хроме изменить стартовую страницу - она не сохраняется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
удалите папку c:\Users\Jon\AppData\Roaming\validzip\

 

деинсталлируйте MBAM

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

вверху слева нажмите Save Log

полученный лог osam.html прикрепите к новому сообщению.

 

Цитата(Jon-SC @ 06.11.2011, 14:53)

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что

 

если в хроме изменить стартовую страницу - она не сохраняется?

 

удалил папку c:\Users\Jon\AppData\Roaming\validzip\

 

http://webfile.ru/5651195 osam.html

 

Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись.

Изменено пользователем Jon-SC

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись.

Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете?

 

Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/

Изменено пользователем Tiare

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете?

 

Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/

 

Нет, мне не видно какая программа пытается внести изменение. выдается предупреждение от Яндекс.Защитника, что стартовая страница изменена со стандартной на "smaxxi.biz". Сейчас перестало выдаваться предупреждение про Оперу, осталось лишь предупреждение про Google Crome и вместо smaxxi.biz выдает пустое название. При следующей перезагрузке сделаю скриншот.

 

Да, на том форуме писал, но почему-то перестали отвечать. Уже не знаю где и копать. Все перерыл. Не вижу где эта гадость осталась еще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте.

 

После перезагрузки компьютера снова выдает сообщение о попытке изменить страницу в Crome.

 

http://webfile.ru/5651872 скриншот сообщения

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Как вариант - переустановить Google Crome.

 

Т.е. могло прописаться в сам браузер?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Могли остаться какие-то хвосты в системе, вы же пробовали решать проблему самостоятельно + выполняли скрипты с другого форума.

 

Деинсталлируйте через Пуск - Панель управления - Установка и удаление программ

 

 

Если ситуация не изменится, отпишитесь.

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

Изменено пользователем Tiare

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Убрал все, переставил Crome, Яндекс.Защитник перестал ругаться. Спасибо за помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...