Браузер играет сылками

Printable View

07.04.2011, 13:03
rutkit

Браузер играет сылками

Вчера заметил что все браузеры стали использовать, как главную страницу
эту ссылку http://www.ctel.ru/ с порнографическим содержанием.
А через время сама открывается новая вкладка только другой сылкой.
Вроде не где не лазил, но вчера лазил по сайтам через Proxy ,с таким адресом 138.246.99.249 порт 3127 Не знаю может и будет полезная информаций
Так же проверял, CureIt, NOD32 Smart Security, AVZ - шкой прошел поверхностно. Не чего не было найденно
07.04.2011, 13:39
Nikkollo

Ссылку сделайте неактивной.

Пофиксите в HijackThis:
[CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ctel.ru/
[/CODE]

Сделайте лог MBAM:
[url]http://virusinfo.info/showthread.php?t=53070[/url]
и приложите.

C:\Portable\block_reader.sys
Это сами устанавливали?
07.04.2011, 16:07
rutkit

[quote]C:\Portable\block_reader.sys
Это сами устанавливали?[/quote]

Нет не ставил это..
логи прикрепил

Сейчас пытаюсь изменить Домашнюю страницу, на google.ru
она возвращается на ту же самую что указано в начале темы
07.04.2011, 20:37
Nikkollo

Удалите в MBAM:
[CODE]HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
c:\documents and settings\all users\документы\Fun.exe (Backdoor.Bot) -> No action taken.
c:\program files\r&q instant messenger\historylib.dll (Trojan.KillAV) -> No action taken.[/CODE]

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Portable\block_reader.sys');
BC_DeleteSvc('block_reader');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.

Повторите лог virusinfo_syscheck.zip и лог HijackThis и приложите в теме.
08.04.2011, 13:19
rutkit

Файлы удалились в MBAM одно я не понял c:\program files\r&q instant messenger\historylib.dll этот файлик находиться у меня в RNQ для общения по инету как он может быть связан... с моей болячкой...?
Скрипт AVZ был выполнен!

Логи прикрепил.
Но проблема не решилась, сейчас попытался этот адресс ctel.ru сменить, после сохранения он опять появляется.... как будтно какой скрипт выполняется.
Посмотерл в настройках Opera не каких путей там нету и прокси серверов тоже нету.

Как эту гадость убрать ((((
08.04.2011, 14:41
Nikkollo

Выполните скрипт в AVZ:
[CODE]
begin
RegSearch('HKLM', '', 'ctel.ru');
SaveLog(GetAVZDirectory + 'avz.log');
end.
[/CODE]
Скрипт может выполняться несколько минут.
Файл avz.log из папки AVZ приложите в теме.

Найдите файл operaprefs_fixed.ini
Найдите в нем секцию [User Prefs]
Если в параметре Home URL найдете этот сайт, удалите этот параметр.
08.04.2011, 17:27
rutkit

Скрипт выполнил, но файл пустой.
Нашел operaprefs_fixed.ini это файл, удалил строку не чего не помогло
он находился в по адрессу C:\WINDOWS\system32\operaprefs_fixed.ini

При загрузке avz.log, файла выскачила ошибка.
Возможно из за того что он пустой
MBAM уже можно удалять?
08.04.2011, 17:55
Nikkollo

[QUOTE='rutkit;781263']MBAM уже можно удалять?[/QUOTE]
Да, можно удалять.
[QUOTE='rutkit;781180']Файлы удалились в MBAM одно я не понял c:\program files\r&q instant messenger\historylib.dll этот файлик находиться у меня в RNQ для общения по инету как он может быть связан... с моей болячкой...?[/QUOTE]
Этот файл тоже удалили?

Какая версия Оперы у вас установлена?

В Internet Explorer эта проблема наблюдается?
08.04.2011, 18:53
rutkit

c:\program files\r&q instant messenger\historylib.dll
Да я удалил, этот файл. Запустил потом RNQ вроде не наблюдается, проблем.Не чего страшного если, будет проблема я с архива закину....

В IE не наблюдается в Mozilla тоже
Opera последняя скачанная с офф.сайта opera.com, совсем не давно
08.04.2011, 19:23
Nikkollo

Сделайте так:
Мой Компьютер - по диску С правой кнопкой мыши - Найти.
В появившемся окне, в поле "Часть имени файла или имя файла целиком" введите "opera*" (без кавычек).
В поле "Слово или фраза в файле" введите "ctel" без кавычек.
Щелкните "Дополнительные параметры" - должны быть включены только 3 галки - "Поиск в системных папках", "Поиск в скрытых файлах и папках", "Просмотреть вложенные папки".
Остальные галки должны быть выключены.
Запустите поиск, дождитесь окончания.
Если что-то найдется, заархивируйте все найденные файлы и приложите в теме.
08.04.2011, 21:44
rutkit

Я так и зделал, до вашего сообщения. Там в основном были файлы с такими ссылками ctel.ru в Temp opera, и Mozilla , и еще был файл opera6.ini он копия по содержанию operaprefs_fixed.ini
Я все удалил там была ссылка с которой я борюсь
Сейчас больше не чего не беспокоит
Огромное вам спасибо!
08.04.2011, 21:56
Nikkollo

То есть сейчас проблема решилась?
08.04.2011, 22:04
rutkit

[B]Nikkollo[/B], Да все решилось! а можно к вам добавиться с в друзья?
08.04.2011, 22:51
Nikkollo

[QUOTE='rutkit;781322']Да все решилось! а можно к вам добавиться с в друзья?[/QUOTE]
У вас ник какой-то подозрительный... :)
08.04.2011, 22:54
rutkit

ну вы что, это просто ник, я только за борьбу против вирусов и все что с ними связано
[B] так можно?[/B]
08.04.2011, 23:04
Nikkollo

А почему именно ко мне?
Здесь есть хелперы гораздо умнее и опытнее меня.