ManHunt Опубликовано 27 апреля, 2012 Опубликовано 27 апреля, 2012 Здравствуйте. После установки каких то програм, при запуске браузера ( у меня Opera) начала появляться одна и та же стартовая страница http://www.smaxxi.biz. Если менять в настройках браузера адрес стартовой страницы, все равно при следующем запуске снова появляется эта страница. Жду помощи. Прилагаю файлы протоколов. Заранее благодарен. virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt
icotonev Опубликовано 27 апреля, 2012 Опубликовано 27 апреля, 2012 Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.37 Обновите базы AVZ и переделайте логи.
ManHunt Опубликовано 28 апреля, 2012 Автор Опубликовано 28 апреля, 2012 Обновил базы AVZ. Вот новые логи, посмотрите пожалуйста. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
icotonev Опубликовано 28 апреля, 2012 Опубликовано 28 апреля, 2012 Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\WINDOWS\system32\drivers\aieporzk.sys',''); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus . 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. • HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Пожалуйста, подготовить новые логи с АВЗ и RSIT...!
ManHunt Опубликовано 28 апреля, 2012 Автор Опубликовано 28 апреля, 2012 (изменено) 1) Запрос в Вирусную лабораторию не отправляется. приходит ответ: "Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected." Антивирус отключен, пересылал повторно с паролем архива infected. Приходит такой же ответ. 2) HiJackThis что написали пофиксил. 3) Скачал Malwarebytes' Anti-Malware, результат сканирования прилагаю. 4) И новые логи с АВЗ и RSIT. virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt mbam_log_2012_04_28__17_43_59_.txt Изменено 28 апреля, 2012 пользователем ManHunt
icotonev Опубликовано 28 апреля, 2012 Опубликовано 28 апреля, 2012 •Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена. Установите SP3 (может потребоваться активация) + все новые обновления для Windows. Повторите сканирование в MBAM и удалите только следующие строки: Обнаруженные ключи в реестре: 16 HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Действие не было предпринято. HKCR\CLSID\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято. HKCR\TypeLib\{EF62EF34-7E5A-46ac-9383-1949547AF5D6} (Trojan.BHO) -> Действие не было предпринято. HKCR\ConnectionServices.ConnectionServices.1 (Trojan.BHO) -> Действие не было предпринято. HKCR\ConnectionServices.ConnectionServices (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято. HKCR\Typelib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> Действие не было предпринято. HKCR\Interface\{8CB0D898-A6A2-48c3-BBD7-862F85B18D46} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860A02-4D69-48C1-82D7-EF6B2C609502} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Действие не было предпринято. HKLM\Software\Wyeke (Adware.Agent) -> Действие не было предпринято. HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Wyeke (Adware.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VertZip (PUP.SmsPay) -> Параметры: "C:\Documents and Settings\$ерёга\Application Data\willarchive\willarchive.exe" autstr_148 -> Действие не было предпринято. Обнаруженные папки: 2 C:\Program Files\Wyeke (Adware.Agent) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\Wyeke (Adware.Wyeke) -> Действие не было предпринято. Обнаруженные файлы: 11 C:\Documents and Settings\$ерёга\Application Data\willarchive\willarchive.exe (PUP.SmsPay) -> Действие не было предпринято. C:\Documents and Settings\$ерёга\Application Data\willarchive\4237e0895ee4dfed1a0f49890d21150b (PUP.SmsPay) -> Действие не было предпринято. C:\Documents and Settings\$ерёга\Application Data\willarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke179.exe (Adware.Agent.ZGen) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke195.exe (Adware.Agent.ZGen) -> Действие не было предпринято. C:\Program Files\Wyeke\wyeke.exe (Adware.Agent.ZGen) -> Действие не было предпринято. C:\Program Files\Wyeke\uninstall.exe (Adware.Agent) -> Действие не было предпринято. C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke185.exe (Adware.Wyeke) -> Действие не было предпринято. Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.
ManHunt Опубликовано 28 апреля, 2012 Автор Опубликовано 28 апреля, 2012 Файл из SecurityCheck by screen317 checkup.txt
ManHunt Опубликовано 28 апреля, 2012 Автор Опубликовано 28 апреля, 2012 Все так же ничего не изменилось после перезагрузки ПК, запускаю браузер и снова открывается этот сайт smaxxi
icotonev Опубликовано 28 апреля, 2012 Опубликовано 28 апреля, 2012 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению."
icotonev Опубликовано 29 апреля, 2012 Опубликовано 29 апреля, 2012 Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: File:: c:\documents and settings\$ерёга\Application Data\willarchive\willarchive.exe Folder:: c:\documents and settings\$ерёга\Application Data\willarchive Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VertZip"=- Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
NickGolovko Опубликовано 29 апреля, 2012 Опубликовано 29 апреля, 2012 Я, конечно, извиняюсь, но... Восстановление системы: включено На время лечения восстановление системы целесообразно отключать.
ManHunt Опубликовано 29 апреля, 2012 Автор Опубликовано 29 апреля, 2012 (изменено) Я тоже дико извиняюсь, но я не програмист, поэтому и обратился сюда. Мне об отключении восстановления системы никто ничего не говорил. Целый день сканирую ПК, и все без результатов. Может поможете чем нибудь, или это такая трудная задача? Изменено 29 апреля, 2012 пользователем ManHunt
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти