www.smaxxi.biz становится стартовой страницей

[Accelerator]

www.smaxxi.biz становится стартовой страницей в опере.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Tiare]

Accelerator, здравствуйте.

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Тайлер\Application Data\worlduarchive\viewmerik.exe','');
QuarantineFile('C:\Users\Тайлер\AppData\Roaming\worlduarchive\viewmerik.exe','');
QuarantineFile('C:\Documents and Settings\Тайлер\Application Data\worlduarchive\viewmerik.exe','');
QuarantineFile('C:\Documents and Settings\Тайлер\AppData\Roaming\worlduarchive\viewmerik.exe','');
QuarantineFile('C:\Users\Тайлер\AppData\Roaming\worlduarchive\worlduarchive.exe','');
QuarantineFileF('C:\Users\Тайлер\AppData\Roaming\worlduarchive', '*.*', false, '', 0, 0);
DeleteFile('C:\Users\Тайлер\AppData\Roaming\worlduarchive\worlduarchive.exe');
DeleteFile('C:\Documents and Settings\Тайлер\AppData\Roaming\worlduarchive\viewmerik.exe');
DeleteFile('C:\Documents and Settings\Тайлер\Application Data\worlduarchive\viewmerik.exe');
DeleteFile('C:\Users\Тайлер\AppData\Roaming\worlduarchive\viewmerik.exe');
DeleteFile('C:\Users\Тайлер\Application Data\worlduarchive\viewmerik.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VertZip');
DeleteFileMask('C:\Users\Тайлер\Application Data\worlduarchive', '*.*', true);
DeleteFileMask('C:\Users\Тайлер\AppData\Roaming\worlduarchive', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Тайлер\Application Data\worlduarchive', '*.*', true); 
DeleteFileMask('C:\Documents and Settings\Тайлер\AppData\Roaming\worlduarchive', '*.*', true);
DeleteDirectory('C:\Users\Тайлер\Application Data\worlduarchive');
DeleteDirectory('C:\Users\Тайлер\AppData\Roaming\worlduarchive');
DeleteDirectory('C:\Documents and Settings\Тайлер\Application Data\worlduarchive');
DeleteDirectory('C:\Documents and Settings\Тайлер\AppData\Roaming\worlduarchive');
ExecuteSysClean;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis следующие строчки. После выполнения скрипта в AVZ некоторые строки могут отсутствовать

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R3 - URLSearchHook: (no name) -  - (no file)

 

 

Kaspersky Virus Removal Tool - использовали ранее и удаляли? Удалите остатки с помощью этой утилиты. Выбирайте удаление AVP Tool driver

 

+ обновите Adobe Reader до актуальной версии

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

+ Повторите логи AVZ и RSIT.

 

 

D:\install.exe – вам известно что это?

Изменено 23 марта, 2012 пользователем Tiare

[Accelerator]

Tiare, здравствуйте.

 

Kaspersky Virus Removal Tool - использовали ранее и удаляли?

Да. Удалил.

D:\install.exe – вам известно что это?

Нет. Его там не видно, даже если включить отображение скрытых файлов и папок.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

не выполнили!

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

пофиксите в Hijacthis:

O4 - HKCU\..\Run: [install] D:\install.exe

 

сделайте новые логи RSIT

[Accelerator]

не выполнили!

Выполнил, забыл лог прикрепить.

 

Полученный ответ сообщите в этой теме.

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

viewmerik.exe,
viewmerik_0.exe,
viewmerik_1.exe,
viewmerik_2.exe,
worlduarchive.exe

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

mbam_log_2012_03_08__00_54_28_.txt

info.txt

log.txt

Изменено 8 марта, 2012 пользователем Accelerator

[Tiare]

C:\Program Files\avz4\Quarantine\2012-03-07,

C:\Users\Тайлер\AppData\Roaming\worlduarchive - удалите.

 

Malwarebytes' Anti-Malware - деинсталлируйте.

 

Эти папки вам знакомы? Покажите их содержимое?

C:\Users\Тайлер\AppData\Roaming\Thinstall

C:\Users\Тайлер\AppData\Roaming\EurekaLog

 

 

Проблемы есть?

[Accelerator]

C:\Users\Тайлер\AppData\Roaming\EurekaLog

Пустая.

C:\Users\Тайлер\AppData\Roaming\Thinstall

А эта известна, но программу удалял, т.к. пользуюсь альтернативой.

Раскрывающийся текст:

 

 

Проблемы есть?

Нет, спасибо.

Изменено 8 марта, 2012 пользователем Accelerator

[Tiare]

удалите

C:\Users\Тайлер\AppData\Roaming\Thinstall

C:\Users\Тайлер\AppData\Roaming\EurekaLog

 

если не используете, тоже деинсталлируйте (у программы сомнительная репутация)

vShare Plugin-->C:\Program Files (x86)\vShare\UNINSTALL.exe

 

 

 

Рекомендации после лечения

[Accelerator]

Tiare, спасибо.

[Tiare]

Пожалуйста)