На тачке ключи сертификаты, ЭЦП и т.д. Вылазит от антивируса постоянная штука Троянский конь Startpage.RYH c:\Windows\explorer.exe
Логи
На тачке ключи сертификаты, ЭЦП и т.д. Вылазит от антивируса постоянная штука Троянский конь Startpage.RYH c:\Windows\explorer.exe
Логи
Уважаемый(ая) Oleg Kolesnikov, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\Windows\system32\qmgr.dll',''); DelBHO('{1392b8d2-5c05-419f-a8f6-b9f15a596612}'); DelBHO('{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}'); QuarantineFile('C:\Users\Администратор\0.048515661620812556.exe',''); QuarantineFile('C:\Windows\system32\misvzkg.dll',''); DeleteFile('C:\Windows\system32\misvzkg.dll'); DeleteFile('C:\Users\Администратор\0.048515661620812556.exe'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('SCU',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки выполните скрипт в AVZ:
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
- - - Добавлено - - -
Прокси ваш?
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 190.202.87.134:3128
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Проблемма не решена. Вирус также остался. Карантин прислал.
Новый лог HijackThis и AVZ syscheck прикладываю. Также лог MBAM до выполнения скриптов в AVZ тоесть. Наночь на проверку поставил и готово. Обновления программ в процессе установки
virusinfo_syscheck.zip
MBAM-log-2013-02-12 (08-01-10).txt
avz_log.txt
hijackthis.log
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.Код:begin ClearQuarantine; ExecuteAVUpdate; ExecuteStdScr(4); end.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).
Сделайте лог MiniToolBox:
http://virusinfo.info/showthread.php...877#post902877
и приложите в теме.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Файл от AVZ не получается залить изза скорости и весит он 60мб. Залил на яндекс диск. вот ссылка http://yadi.sk/d/T8TSGl-V2aFqz
остальные логи прилагаю
TDSSKiller.2.8.16.0_13.02.2013_20.56.10_log.txt
MiniToolBox Result.txt
GMER LOG.log
Скачайте AdwCleaner и просканируйте систему. Лог приложите.
Ссылка для скачивания: http://www.rtiopt64.ru/Startpage/AdwCleaner.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
лог AdwCleaner
AdwCleaner[R1].txt
Нашелся Conduit & PriceGong. Это надо зачистить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ага. Порылся в инете. советуют поставить SpyHunter (нашел на рутрекере с ключем без ключа не удаляется)
вот отчет что нашел он http://zalil.ru/34262962
Trojan Bagle
Search.Conduit ( очень много файлов от него и веток в реестре)
Adware.PriceGong
Их удалил. Посмотрим что будет. Еще отпишусь
И вопрос почему другие антивирусы не находили этого??? И не удаляли
Надо было зачистить AdwCleaner. Чтобы лишнюю программу для лечения не ставить.
Другие специализируются на вирусах, а тут Адваре.
По идее Мбам должен был найти и зачистить запросто. Я просто побоялся его применять на компьютере с Клиент-банком. Были случаи в моей практике, когда МБАМ запчасти от клиент-банка зачищал .
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
И так проблемма не решена. лог AdwCleaner
всё чисто
AdwCleaner[R3].txt
Запустил MBAM. Посмотрим что скажет. Лог приложу как отсканирует.
Лог Хиджака повтори.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот мбам и hijackthis
refbook удалил. щас ребутну. напишу результат
Есть способ такой: отключаем AVG и смотрим какую нам стартовую страницу поставят. По ней можно попытаться определить какая программа это делает.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Не помогло.
- - - Добавлено - - -
Ок. щас попробую
Это просто резидентная защита AVG сработала. Ее тяжело отключать. Постараюсь из дома написать один из вариантов. Удаленно утилитами это сделать тяжело. Твоими руками будем делать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
AVG из автозапуска убрал. Перезагрузился. Окошечко это от антивируса не выскакивает. но и стартовая страница никакая не поставилась. что в Opera стояла google.ru что в IE стоит google.ru
- - - Добавлено - - -
ок.
- - - Добавлено - - -
Может сам файл explorer заражен? может из такойже сборки windows файл explorer.exe заменить на новый??
- - - Добавлено - - -
На вирус тотал отправил файл explorer.exe вот ссылка на инфу о том что выдало https://www.virustotal.com/ru/file/a2964c6302181f2d1a59333f1e5fbf90cbbab3b9e20d46f613 983c0f2f8a0e04/analysis/1360931970/
Trojan.Win32.StartPage
Неудачная ссылка получилась, открываться не хочется.
Возможно, файл патченный.
Замени его и посмотри за самочувствием системы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Скачал ваш файл из сообщения №6.
Загрузил Киберу, но он почему-то не ответил пока.
Проверил у себя KIS, чисто.
В архиве есть и explorer.exe, проверил его на вирустотал:
https://www.virustotal.com/ru/file/a...0e04/analysis/
Похоже ложное срабатывание.
Что у вас за система? Сборка какая-то?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Уважаемый(ая) Oleg Kolesnikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.