Jon-SC 0 Опубликовано 5 ноября, 2011 Share Опубликовано 5 ноября, 2011 В качестве стартовой ставится smaxxi.biz во всех браузерах подхватил троян при распаковке архива запускал всевозможные скрипты для AVZ, вычистил подозрительные строки через хайджек , но зараза не уходит сигнализbрует о смене страницы Яндекс.защитник (praetorian.exe) http://webfile.ru/5647858 virusinfo_syscure.zip http://webfile.ru/5647859 hijackthis.log http://webfile.ru/5647860 LiveCD Kaspersky 2010 не помог к сожалению. Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 5 ноября, 2011 Share Опубликовано 5 ноября, 2011 Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\system32\Drivers\removeany.sys',''); QuarantineFile('C:\Windows\system32\Drivers\ujexndm1.sys',''); DeleteFile('C:\Windows\system32\Drivers\ujexndm1.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через:данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Сделайте новые логи по правилам. - Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 6 ноября, 2011 Автор Share Опубликовано 6 ноября, 2011 http://webfile.ru/5649387 mbam.log Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 6 ноября, 2011 Share Опубликовано 6 ноября, 2011 Сделайте новые логи по правилам. - Порядок оформления запроса о помощи Прикрепите еще новые логи AVZ +RSIT. При запуске утилит, не закрывайте браузеры. Карантин отправили? Ответ приходил? Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 6 ноября, 2011 Автор Share Опубликовано 6 ноября, 2011 Прикрепите еще новые логи AVZ +RSIT. При запуске утилит, не закрывайте браузеры. Карантин отправили? Ответ приходил? Карантин отправил, ответа пока не было. Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что. Но раз есть атака, значит есть и атакующий. http://webfile.ru/5649515 virusinfo_syscheck.zip свежий http://webfile.ru/5649995 virusinfo_syscure.zi http://webfile.ru/5650005 rsit log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 6 ноября, 2011 Share Опубликовано 6 ноября, 2011 удалите папку c:\Users\Jon\AppData\Roaming\validzip\ деинсталлируйте MBAM скачайте OSAM установите. запустите. дождитесь окончания сканирования. вверху слева нажмите Save Log полученный лог osam.html прикрепите к новому сообщению. Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что если в хроме изменить стартовую страницу - она не сохраняется? Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 7 ноября, 2011 Автор Share Опубликовано 7 ноября, 2011 (изменено) удалите папку c:\Users\Jon\AppData\Roaming\validzip\ деинсталлируйте MBAM скачайте OSAM установите. запустите. дождитесь окончания сканирования. вверху слева нажмите Save Log полученный лог osam.html прикрепите к новому сообщению. Цитата(Jon-SC @ 06.11.2011, 14:53) Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что если в хроме изменить стартовую страницу - она не сохраняется? удалил папку c:\Users\Jon\AppData\Roaming\validzip\ http://webfile.ru/5651195 osam.html Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись. Изменено 7 ноября, 2011 пользователем Jon-SC Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 ноября, 2011 Share Опубликовано 7 ноября, 2011 (изменено) Стартовая страница в гугле сохраняется, но при повторном запуске компьютера, снова стартовая страница изменяется, по данным Яндекс.Защитника на пустое значение, т.е. имя сайта потеряно, но изменения настойчиво пытаются внестись. Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете? Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/ Изменено 7 ноября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 7 ноября, 2011 Автор Share Опубликовано 7 ноября, 2011 Вам видно какая программа (файл) пытается внести изменение? Скриншот этого сообщения показать можете? Проходите параллельно лечение на другом форуме? http://pchelpforum.ru/f26/t75583/ Нет, мне не видно какая программа пытается внести изменение. выдается предупреждение от Яндекс.Защитника, что стартовая страница изменена со стандартной на "smaxxi.biz". Сейчас перестало выдаваться предупреждение про Оперу, осталось лишь предупреждение про Google Crome и вместо smaxxi.biz выдает пустое название. При следующей перезагрузке сделаю скриншот. Да, на том форуме писал, но почему-то перестали отвечать. Уже не знаю где и копать. Все перерыл. Не вижу где эта гадость осталась еще. Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 ноября, 2011 Share Опубликовано 7 ноября, 2011 Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте. Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 7 ноября, 2011 Автор Share Опубликовано 7 ноября, 2011 Jon-SC, установите вручную стартовую (домашнюю) страницу в Google Crome на ту, которая вам нужна. Перезапустите Crome, проверьте. После перезагрузки компьютера снова выдает сообщение о попытке изменить страницу в Crome. http://webfile.ru/5651872 скриншот сообщения Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 ноября, 2011 Share Опубликовано 7 ноября, 2011 Как вариант - переустановить Google Crome. Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 7 ноября, 2011 Автор Share Опубликовано 7 ноября, 2011 Как вариант - переустановить Google Crome. Т.е. могло прописаться в сам браузер? Цитата Ссылка на сообщение Поделиться на другие сайты
Tiare 183 Опубликовано 7 ноября, 2011 Share Опубликовано 7 ноября, 2011 (изменено) Могли остаться какие-то хвосты в системе, вы же пробовали решать проблему самостоятельно + выполняли скрипты с другого форума. Деинсталлируйте через Пуск - Панель управления - Установка и удаление программ Если ситуация не изменится, отпишитесь. Обязательно деинсталлируйте MBAM! Пуск--Панель управления--Установка и удаление программНаходим там Malwarebytes' Anti-Malware и нажимаем удалить. Изменено 7 ноября, 2011 пользователем Tiare Цитата Ссылка на сообщение Поделиться на другие сайты
Jon-SC 0 Опубликовано 8 ноября, 2011 Автор Share Опубликовано 8 ноября, 2011 Убрал все, переставил Crome, Яндекс.Защитник перестал ругаться. Спасибо за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.