-
Junior Member
- Вес репутации
- 50
Сбрасываются настройки браузера после перезагрузки ПК
Здравствуйте.
После перезагрузки ПК, и так каждый раз, начали сбрасываться настройки браузера Mozilla Firefox 5 и Internet Explorer 8 (в IE только домашняя страница).
При включении ПК появляется окно с вирусом (см. скрин), но после сканирования avz4 эта проблема исчезла. А настройки браузера сбрасываются по прежнему после перезагрузки. Прошу помощи.
Заранее, Спасибо!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Larin, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Пофиксите в HiJack
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\Larin\Application Data\archsoft\runopenar.exe','');
DeleteFile('D:\Documents and Settings\Larin\Application Data\archsoft\runopenar.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winxgz');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
1.удалите в MBAM
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{456A3B12-8FE6-41AE-9E5C-5E55F0712C09} (Rogue.PCDefender) -> No action taken.
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\WINXGZ (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\winxgz\exerunner (Trojan.Agent) -> Value: exerunner -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.
Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Зараженные папки:
d:\documents and settings\Larin\application data\archsoft (Trojan.Agent) -> No action taken.
Зараженные файлы:
d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP151\A0124833.exe (PUP.Hacktool.Patcher) -> No action taken.
d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP152\A0124967.exe (PUP.SmsPay) -> No action taken.
d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP163\A0127544.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP163\A0127784.exe (RiskWare.Tool.HCK) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\rubashka.css (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\a.htm (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\dir.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\dot.gif (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\foot.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\logo.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\logo2.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\logo2m.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\nikitskaya72 (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\scroll.css (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\wfont.ttf (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\winzipninfo (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\xsendexe.tmp (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel2.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel3.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel4.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel5.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel6.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel7.png (Trojan.Agent) -> No action taken.
d:\documents and settings\Larin\application data\archsoft\_todel8.png (Trojan.Agent) -> No action taken.
2.Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('D:\WINDOWS\system32\XDva380.sys','');
DeleteService('XDva380');
DeleteFile('D:\WINDOWS\system32\XDva380.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Сейчас всё хорошо, комп и браузер работает нормально. Но жду что ответите вы.
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP164\A0129007.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
В остальном подозрительного нет.
-
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\larin\\application data\\archsoft\\runopenar.exe - Hoax.Win32.ArchSMS.jzno ( DrWEB: Trojan.SMSSend.1156, BitDefender: Trojan.Generic.6407944, AVAST4: Win32:Malware-gen )
-