-
Junior Member
- Вес репутации
- 52
Браузер играет сылками
Вчера заметил что все браузеры стали использовать, как главную страницу
эту ссылку http://www.ctel.ru/ с порнографическим содержанием.
А через время сама открывается новая вкладка только другой сылкой.
Вроде не где не лазил, но вчера лазил по сайтам через Proxy ,с таким адресом 138.246.99.249 порт 3127 Не знаю может и будет полезная информаций
Так же проверял, CureIt, NOD32 Smart Security, AVZ - шкой прошел поверхностно. Не чего не было найденно
Последний раз редактировалось Bratez; 07.04.2011 в 14:52.
Причина: деактивировал ссылку
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Ссылку сделайте неактивной.
Пофиксите в HijackThis:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ctel.ru/
Сделайте лог MBAM:
http://virusinfo.info/showthread.php?t=53070
и приложите.
C:\Portable\block_reader.sys
Это сами устанавливали?
-
-
Junior Member
- Вес репутации
- 52
C:\Portable\block_reader.sys
Это сами устанавливали?
Нет не ставил это..
логи прикрепил
Сейчас пытаюсь изменить Домашнюю страницу, на google.ru
она возвращается на ту же самую что указано в начале темы
-
Удалите в MBAM:
Код:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\all users\документы\Fun.exe (Backdoor.Bot) -> No action taken.
c:\program files\r&q instant messenger\historylib.dll (Trojan.KillAV) -> No action taken.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Portable\block_reader.sys');
BC_DeleteSvc('block_reader');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
-
-
Junior Member
- Вес репутации
- 52
Файлы удалились в MBAM одно я не понял c:\program files\r&q instant messenger\historylib.dll этот файлик находиться у меня в RNQ для общения по инету как он может быть связан... с моей болячкой...?
Скрипт AVZ был выполнен!
Логи прикрепил.
Но проблема не решилась, сейчас попытался этот адресс ctel.ru сменить, после сохранения он опять появляется.... как будтно какой скрипт выполняется.
Посмотерл в настройках Opera не каких путей там нету и прокси серверов тоже нету.
Как эту гадость убрать ((((
-
Выполните скрипт в AVZ:
Код:
begin
RegSearch('HKLM', '', 'ctel.ru');
SaveLog(GetAVZDirectory + 'avz.log');
end.
Скрипт может выполняться несколько минут.
Файл avz.log из папки AVZ приложите в теме.
Найдите файл operaprefs_fixed.ini
Найдите в нем секцию [User Prefs]
Если в параметре Home URL найдете этот сайт, удалите этот параметр.
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил, но файл пустой.
Нашел operaprefs_fixed.ini это файл, удалил строку не чего не помогло
он находился в по адрессу C:\WINDOWS\system32\operaprefs_fixed.ini
При загрузке avz.log, файла выскачила ошибка.
Возможно из за того что он пустой
MBAM уже можно удалять?
-
Сообщение от
rutkit
MBAM уже можно удалять?
Да, можно удалять.
Сообщение от
rutkit
Файлы удалились в MBAM одно я не понял c:\program files\r&q instant messenger\historylib.dll этот файлик находиться у меня в RNQ для общения по инету как он может быть связан... с моей болячкой...?
Этот файл тоже удалили?
Какая версия Оперы у вас установлена?
В Internet Explorer эта проблема наблюдается?
-
-
Junior Member
- Вес репутации
- 52
c:\program files\r&q instant messenger\historylib.dll
Да я удалил, этот файл. Запустил потом RNQ вроде не наблюдается, проблем.Не чего страшного если, будет проблема я с архива закину....
В IE не наблюдается в Mozilla тоже
Opera последняя скачанная с офф.сайта opera.com, совсем не давно
-
Сделайте так:
Мой Компьютер - по диску С правой кнопкой мыши - Найти.
В появившемся окне, в поле "Часть имени файла или имя файла целиком" введите "opera*" (без кавычек).
В поле "Слово или фраза в файле" введите "ctel" без кавычек.
Щелкните "Дополнительные параметры" - должны быть включены только 3 галки - "Поиск в системных папках", "Поиск в скрытых файлах и папках", "Просмотреть вложенные папки".
Остальные галки должны быть выключены.
Запустите поиск, дождитесь окончания.
Если что-то найдется, заархивируйте все найденные файлы и приложите в теме.
-
-
Junior Member
- Вес репутации
- 52
Я так и зделал, до вашего сообщения. Там в основном были файлы с такими ссылками ctel.ru в Temp opera, и Mozilla , и еще был файл opera6.ini он копия по содержанию operaprefs_fixed.ini
Я все удалил там была ссылка с которой я борюсь
Сейчас больше не чего не беспокоит
Огромное вам спасибо!
Последний раз редактировалось rutkit; 08.04.2011 в 22:03.
-
То есть сейчас проблема решилась?
-
-
Junior Member
- Вес репутации
- 52
Nikkollo, Да все решилось! а можно к вам добавиться с в друзья?
-
Сообщение от
rutkit
Да все решилось! а можно к вам добавиться с в друзья?
У вас ник какой-то подозрительный...
-
-
Junior Member
- Вес репутации
- 52
ну вы что, это просто ник, я только за борьбу против вирусов и все что с ними связано
так можно?
-
А почему именно ко мне?
Здесь есть хелперы гораздо умнее и опытнее меня.
-