изменение стартовой страницы на gotut.ru во всех браузерах

[crul]

Доброго дня! Помогите пожалуйста удалить вирус изменяющий стартовые страницы во всех установленных браузерах.

[Info_bot]

Уважаемый(ая) crul, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[crul]

лог прикрепил...
Огромное спасибо Вам за помощь!
в принципе все заработало. Делал по аналогии с другими потерпевшими)))

Хочется просто понять есть ли еще активный вирус в системе...

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[crul]

все проделал

[mike 1]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-515967899-1085031214-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
  S3 catchme; \??\C:\ComboFix\catchme.sys [X]
  2015-04-23 00:12 - 2015-04-23 17:35 - 00000000 ____D () C:\Documents and Settings\User\Application Data\Browsers
  2015-04-22 18:45 - 2015-04-22 18:45 - 00000000 ____D () C:\Documents and Settings\LocalService\Application Data\Baidu
  2015-04-22 18:37 - 2015-04-22 20:06 - 00000000 ____D () C:\Documents and Settings\User\Local Settings\Application Data\B98ED3A0-1429727825-11DC-A31D-001E8C833DE8
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[crul]

готово.
Подскажите пожалуйста у меня еще один компьютер подхватил похожую вирусню...
Я его полечил по аналогии. вроде все пропало, но все таки хотелось убедиться, что не осталось никаких следов от зловредов.
Мне необходимо новую тему открыть или можно в этой выложить все необходимые логи???

[mike 1]

Подскажите пожалуйста у меня еще один компьютер подхватил похожую вирусню...

Нельзя выполнять скрипты написанные для другого компьютера, вы можете себе систему повредить этими действиями.

2015-04-23 17:01 - 2015-04-23 17:14 - 00000000 ____D () C:\ComboFix
2015-04-23 17:01 - 2011-06-26 10:45 - 00256000 _____ () C:\WINDOWS\PEV.exe
2015-04-23 17:01 - 2010-11-07 21:20 - 00208896 _____ () C:\WINDOWS\MBR.exe
2015-04-23 17:01 - 2009-04-20 08:56 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2015-04-23 17:01 - 2000-08-31 04:00 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2015-04-23 17:01 - 2000-08-31 04:00 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2015-04-23 17:01 - 2000-08-31 04:00 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2015-04-23 17:01 - 2000-08-31 04:00 - 00098816 _____ () C:\WINDOWS\sed.exe
2015-04-23 17:01 - 2000-08-31 04:00 - 00080412 _____ () C:\WINDOWS\grep.exe
2015-04-23 17:01 - 2000-08-31 04:00 - 00068096 _____ () C:\WINDOWS\zip.exe
2015-04-23 17:00 - 2015-04-23 17:14 - 00000000 ____D () C:\Qoobox
2015-04-23 17:00 - 2015-04-23 17:12 - 00000000 ____D () C:\WINDOWS\erdnt

Запрещено запускать Combofix без рекомендации хелпера. Combofix сильно меняет настройки системы, а в некоторых случаях может привести в негодность вашу систему.

Мне необходимо новую тему открыть или можно в этой выложить все необходимые логи???

Новую.

1. Скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt
6. Прикрепите этот отчет в вашей теме.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[crul]

логи прикрепил

Понял, что Самодеятельностью не стоит заниматься...

[mike 1]

Kaspersky Internet Security 2013 v.13.0.1.4190 - обновите до версии 15.0.2.361

Adobe Flash Player 13 ActiveX v.13.0.0.214 Внимание! Скачать обновления
Adobe Flash Player 16 NPAPI v.16.0.0.257 Внимание! Скачать обновления
Adobe Shockwave Player 12.0 v.12.0.7.148 Внимание! Скачать обновления
Adobe Flash Player 10 ActiveX v.10.1.52.14 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 37.0.2 (x86 ru) v.37.0.2
Opera Stable 28.0.1750.51 v.28.0.1750.51
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.37.0.2.5583
------------------------------ [ MS Office ] ------------------------------
Уязвимости взяты из скрипта: http://dataforce.ru/~kad/ScanVuln.txt
SetKillBit: {0002E543-0000-0000-C000-000000000046}
SetKillBit: {0002E55B-0000-0000-C000-000000000046}
SetKillBit: {0002E541-0000-0000-C000-000000000046}
SetKillBit: {0002E559-0000-0000-C000-000000000046}
Уязвимость компонента Microsoft Graphics делает возможным удаленное выполнение кода Скачать обновления

Советы и рекомендации после лечения компьютера

[crul]

Большое спасибо за помощь!!!