-
Junior Member
- Вес репутации
- 56
Подмена домашней страницы на http://darberry.ru
Поймал приблуду. В IE и Firefox при открытии либо закрытии (тут уж не понять) программы домашняя страница меняется на darberry.ru/signup. Если в работающем броузере поменять домашнюю страницу, то все ок, пока он не будет закрыт и не запушен заново. ОС Windows 7.
Буду очень благодарен!
Последний раз редактировалось gukovsem; 02.12.2010 в 10:38.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - {930f1200-f5f1-4870-bac6-e233ec8e7023} - (no file)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://darberry.ru
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\relevantknowledge\rlvknlg.exe');
TerminateProcessByName('c:\program files\relevantknowledge\rlservice.exe');
QuarantineFile('C:\Documents and Settings\User\Documents\Мои видеозаписи\VLCPortable\App\vlc\plugins\libpacketizer_mlp_plugin.dll','');
QuarantineFile('C:\Users\User\Application Data\Beonno\abla.exe','');
QuarantineFile('C:\Program Files\relevantknowledge\rlservice.exe','');
DeleteFile('C:\Program Files\relevantknowledge\rlservice.exe');
DeleteFileMask('C:\Program Files\relevantknowledge','*.*',true);
DeleteDirectory('C:\Program Files\relevantknowledge');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Прокси сами настраивали? -
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*.*.*;<local>;*.local
-
-
Junior Member
- Вес репутации
- 56
Немогу загрузить карантин.
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Прокся правильная.
\darberry.ru осталось
Последний раз редактировалось gukovsem; 02.12.2010 в 13:24.
-
-
-
Junior Member
- Вес репутации
- 56
Последний раз редактировалось gukovsem; 02.12.2010 в 13:25.
-
Junior Member
- Вес репутации
- 56
Есть идеи как ето побороть?
Последний раз редактировалось gukovsem; 02.12.2010 в 16:46.
-
перед запуском скрипта AVZ запускали от имени админа?
-
-
Junior Member
- Вес репутации
- 56
Да, от имени администратора
-
Сообщение от
gukovsem
Немогу загрузить карантин.
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Странно. Ваших карантинов нет ни одного. А хотелось бы.
Попробуем еще раз.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\relevantknowledge\rlservice.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\Beonno\abla.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=92805).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 56
AVZ неможет выполнить скрипт зависает, пробывал вручную остановить сервис rlservice.exe всеравно переходит в автоматический режим запуска. Из процесов ничем немогу остановить rlvknlg.exe. Попробую записать LiveCD c EDR Commanderom результат напишу. Сервис отключил пробую выполнить скрипт АВЗ опять зависла. Только сейчас увидел что заблокирован доступ на установку и удаление программ. Увы но наверное буду сносить винду.
Последний раз редактировалось gukovsem; 03.12.2010 в 10:43.