Появилась стартовая страница http://www.smaxxi.biz

[lom404]

Здравствуйте! Обновил Firefox до 12 и он стал стартовать со страницы http://www.smaxxi.biz. Почистил реестр, но все-равно эта страница появляется. Буду благодарен за помощь. Логи прилогаю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

info.txt

log.txt

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('C:\Documents and Settings\Mike\Application Data\willarchive\willarchive.exe ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VertZip');
DeleteFileMask('C:\Documents and Settings\Mike\Application Data\willarchive\ ','*.* ',true ,' ');
DeleteDirectory('C:\Documents and Settings\Mike\Application Data\willarchive\ ',' ');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Documents and Settings\Mike\Application Data\willarchive\willarchive.exe');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[lom404]

Уф. Три часа. Нашел 11 подозрительных файлов - я их удалил. Кажется перестала появлятся.

mbam_log_2012_05_02__19_26_00_.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

[akoK]

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканирование приостановить их работу.

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[thyrex]

Удалите в МВАМ только указанные строки

Обнаруженные ключи в реестре:  1
HKCU\SOFTWARE\TMAgency (Adware.TMAagent) -> Действие не было предпринято.

Обнаруженные файлы:  10
C:\System Volume Information\_restore{6B240495-B1DA-4781-908D-A5619406607E}\RP470\A0103828.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\Mike\Application Data\willarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято.
F:\RECYCLER\S-1-5-21-299502267-1614895754-725345543-1003\Df406.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

[lom404]

GMER лог:

gmer.log

[thyrex]

Здесь порядок. Ждем результатов удаления в МВАМ

[lom404]

новый лог МВАМ выложить?

[icotonev]

Да .. и не забудьте удалить в МВАМ указанные строки (пост 5).

[sonix]

кто мой пост удалил?

[thyrex]

sonix

 

Вы себя здесь видите в списке консультантов?

Так что скажите спасибо, что еще и нарушение не получили

[sonix]

sonix

 

Вы себя здесь видите в списке консультантов?

Так что скажите спасибо, что еще и нарушение не получили

Извиняюсь,незнал=(