Сбрасываются настройки браузера после перезагрузки ПК
Здравствуйте.
После перезагрузки ПК, и так каждый раз, начали сбрасываться настройки браузера Mozilla Firefox 5 и Internet Explorer 8 (в IE только домашняя страница).
При включении ПК появляется окно с вирусом (см. скрин), но после сканирования avz4 эта проблема исчезла. А настройки браузера сбрасываются по прежнему после перезагрузки. Прошу помощи.
Заранее, Спасибо!!!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Larin, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пофиксите в HiJack
Выполните скрипт в AVZКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.biz
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Documents and Settings\Larin\Application Data\archsoft\runopenar.exe',''); DeleteFile('D:\Documents and Settings\Larin\Application Data\archsoft\runopenar.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winxgz'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Всё выполнено
1.удалите в MBAM
2.Выполните скрипт в AVZКод:Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{456A3B12-8FE6-41AE-9E5C-5E55F0712C09} (Rogue.PCDefender) -> No action taken. HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\WINXGZ (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken. Зараженные параметры в реестре: HKEY_CURRENT_USER\Software\winxgz\exerunner (Trojan.Agent) -> Value: exerunner -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken. Объекты реестра заражены: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken. Зараженные папки: d:\documents and settings\Larin\application data\archsoft (Trojan.Agent) -> No action taken. Зараженные файлы: d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP151\A0124833.exe (PUP.Hacktool.Patcher) -> No action taken. d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP152\A0124967.exe (PUP.SmsPay) -> No action taken. d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP163\A0127544.exe (Malware.Packer.Gen) -> No action taken. d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP163\A0127784.exe (RiskWare.Tool.HCK) -> No action taken. d:\documents and settings\Larin\application data\archsoft\rubashka.css (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\a.htm (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\dir.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\dot.gif (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\foot.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\htmlayout.dll (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\logo.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\logo2.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\logo2m.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\nikitskaya72 (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-h-scroll-next.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-scroll-back.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-scroll-base.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-scroll-slider.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-v-scroll-next.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\scroll.css (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\wfont.ttf (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\winzipninfo (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\xsendexe.tmp (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel2.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel3.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel4.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel5.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel6.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel7.png (Trojan.Agent) -> No action taken. d:\documents and settings\Larin\application data\archsoft\_todel8.png (Trojan.Agent) -> No action taken.
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('D:\WINDOWS\system32\XDva380.sys',''); DeleteService('XDva380'); DeleteFile('D:\WINDOWS\system32\XDva380.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
- Сделайте лог MBAM
Готово
Сейчас всё хорошо, комп и браузер работает нормально. Но жду что ответите вы.
- Выполните скрипт в AVZ
В остальном подозрительного нет.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('d:\system volume information\_restore{8e31573e-295b-4433-97a2-c3c049f0b940}\RP164\A0129007.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- d:\\documents and settings\\larin\\application data\\archsoft\\runopenar.exe - Hoax.Win32.ArchSMS.jzno ( DrWEB: Trojan.SMSSend.1156, BitDefender: Trojan.Generic.6407944, AVAST4: Win32:Malware-gen )
Уважаемый(ая) Larin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
