Появляется одна и та же стартовая страница в браузере

[ManHunt]

Здравствуйте. После установки каких то програм, при запуске браузера ( у меня Opera) начала появляться одна и та же стартовая страница http://www.smaxxi.biz. Если менять в настройках браузера адрес стартовой страницы, все равно при следующем запуске снова появляется эта страница. Жду помощи. Прилагаю файлы протоколов. Заранее благодарен.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[icotonev]

Внимание ! База поcледний раз обновлялась 17.10.2011 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.37

 

Обновите базы AVZ и переделайте логи.

[ManHunt]

Обновил базы AVZ. Вот новые логи, посмотрите пожалуйста.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\WINDOWS\system32\drivers\aieporzk.sys','');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus .

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

[ManHunt]

1) Запрос в Вирусную лабораторию не отправляется. приходит ответ: "Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected." Антивирус отключен, пересылал повторно с паролем архива infected. Приходит такой же ответ.

2) HiJackThis что написали пофиксил.

3) Скачал Malwarebytes' Anti-Malware, результат сканирования прилагаю.

4) И новые логи с АВЗ и RSIT.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

mbam_log_2012_04_28__17_43_59_.txt

Изменено 28 апреля, 2012 пользователем ManHunt

[icotonev]

•Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена. Установите SP3 (может потребоваться активация) + все новые обновления для Windows.

 

Повторите сканирование в MBAM и удалите только следующие строки:

 

Обнаруженные ключи в реестре:  16
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCR\CLSID\{6D7B211A-88EA-490c-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCR\TypeLib\{EF62EF34-7E5A-46ac-9383-1949547AF5D6} (Trojan.BHO) -> Действие не было предпринято.
HKCR\ConnectionServices.ConnectionServices.1 (Trojan.BHO) -> Действие не было предпринято.
HKCR\ConnectionServices.ConnectionServices (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D7B211A-88EA-490C-BAB9-3600D8D7C503} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Typelib\{431D251C-B43A-47d7-B4F4-07A101B432D6} (Trojan.BHO) -> Действие не было предпринято.
HKCR\Interface\{8CB0D898-A6A2-48c3-BBD7-862F85B18D46} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEBF} (Adware.SmartShopper) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3CC3D8FE-F0E0-4DD1-A69A-8C56BCC7BEC0} (Adware.SmartShopper) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E} (Adware.SmartShopper) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860A02-4D69-48C1-82D7-EF6B2C609502} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1DE446A-8770-4621-9378-F1922C74A36C} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Vkontakte (Trojan.Fkantakte) -> Действие не было предпринято.
HKLM\Software\Wyeke (Adware.Agent) -> Действие не было предпринято.
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Wyeke (Adware.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VertZip (PUP.SmsPay) -> Параметры: "C:\Documents and Settings\$ерёга\Application Data\willarchive\willarchive.exe" autstr_148  -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Program Files\Wyeke (Adware.Agent) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Wyeke (Adware.Wyeke) -> Действие не было предпринято.

Обнаруженные файлы:  11
C:\Documents and Settings\$ерёга\Application Data\willarchive\willarchive.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\$ерёга\Application Data\willarchive\4237e0895ee4dfed1a0f49890d21150b (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\$ерёга\Application Data\willarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke179.exe (Adware.Agent.ZGen) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke195.exe (Adware.Agent.ZGen) -> Действие не было предпринято.
C:\Program Files\Wyeke\wyeke.exe (Adware.Agent.ZGen) -> Действие не было предпринято.
C:\Program Files\Wyeke\uninstall.exe (Adware.Agent) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\Wyeke\wyeke185.exe (Adware.Wyeke) -> Действие не было предпринято.

 

• Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  
• Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  
• Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  
• Прикрепите файл к следующему сообщению.
  

[ManHunt]

Файл из SecurityCheck by screen317

checkup.txt

[icotonev]

Что с проблемами?

[ManHunt]

Все так же ничего не изменилось после перезагрузки ПК, запускаю браузер и снова открывается этот сайт smaxxi

[icotonev]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

[ManHunt]

лог ComboFix

log.rar

[icotonev]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

 

KillAll::

File::
c:\documents and settings\$ерёга\Application Data\willarchive\willarchive.exe

Folder::
c:\documents and settings\$ерёга\Application Data\willarchive

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VertZip"=-

Reboot::

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[ManHunt]

Новый лог ComboFix

log.rar

[NickGolovko]

Я, конечно, извиняюсь, но...

 

Восстановление системы: включено

 

На время лечения восстановление системы целесообразно отключать.

[ManHunt]

Я тоже дико извиняюсь, но я не програмист, поэтому и обратился сюда. Мне об отключении восстановления системы никто ничего не говорил. Целый день сканирую ПК, и все без результатов. Может поможете чем нибудь, или это такая трудная задача?

Изменено 29 апреля, 2012 пользователем ManHunt