На тачке ключи сертификаты, ЭЦП и т.д. Вылазит от антивируса постоянная штука Троянский конь Startpage.RYH c:\Windows\explorer.exe
Логи
Printable View
На тачке ключи сертификаты, ЭЦП и т.д. Вылазит от антивируса постоянная штука Троянский конь Startpage.RYH c:\Windows\explorer.exe
Логи
Уважаемый(ая) [B]Oleg Kolesnikov[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\qmgr.dll','');
DelBHO('{1392b8d2-5c05-419f-a8f6-b9f15a596612}');
DelBHO('{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}');
QuarantineFile('C:\Users\Администратор\0.048515661620812556.exe','');
QuarantineFile('C:\Windows\system32\misvzkg.dll','');
DeleteFile('C:\Windows\system32\misvzkg.dll');
DeleteFile('C:\Users\Администратор\0.048515661620812556.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
После перезагрузки выполните скрипт в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".
Обновите базы AVZ.
Если базы не обновляются через меню Файл - Обновление баз,
скачайте архив баз [url]http://z-oleg.com/secur/avz_up/avzbase.zip[/url]
и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Прокси ваш?
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 190.202.87.134:3128[/CODE]
Проблемма не решена. Вирус также остался. Карантин прислал.
Новый лог HijackThis и AVZ syscheck прикладываю. Также лог MBAM до выполнения скриптов в AVZ тоесть. Наночь на проверку поставил и готово. Обновления программ в процессе установки
[ATTACH]403458[/ATTACH]
[ATTACH]403459[/ATTACH]
[ATTACH]403460[/ATTACH]
[ATTACH]403461[/ATTACH]
При подключенном интернете выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
ExecuteAVUpdate;
ExecuteStdScr(4);
end.
[/CODE]
Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
[url]http://virusinfo.info/upload_clean.php[/url]
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Скачайте, распакуйте и запустите TDSSKiller:
[url]http://support.kaspersky.ru/faq/?qid=208636926[/url]
Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска).
Сделайте лог MiniToolBox:
[url]http://virusinfo.info/showthread.php?t=122524&p=902877#post902877[/url]
и приложите в теме.
Файл от AVZ не получается залить изза скорости и весит он 60мб. Залил на яндекс диск. вот ссылка [url]http://yadi.sk/d/T8TSGl-V2aFqz[/url]
остальные логи прилагаю
[ATTACH]403801[/ATTACH]
[ATTACH]403800[/ATTACH]
[ATTACH]403799[/ATTACH]
Скачайте AdwCleaner и просканируйте систему. Лог приложите.
Ссылка для скачивания: [url]http://www.rtiopt64.ru/Startpage/AdwCleaner.exe[/url]
лог AdwCleaner
[ATTACH]403837[/ATTACH]
Нашелся Conduit & PriceGong. Это надо зачистить.
Ага. Порылся в инете. советуют поставить SpyHunter (нашел на рутрекере с ключем без ключа не удаляется)
вот отчет что нашел он [url]http://zalil.ru/34262962[/url]
Trojan Bagle
Search.Conduit ( очень много файлов от него и веток в реестре)
Adware.PriceGong
Их удалил. Посмотрим что будет. Еще отпишусь
И вопрос почему другие антивирусы не находили этого??? И не удаляли
[quote="Oleg Kolesnikov;972537"]Search.Conduit ( очень много файлов от него и веток в реестре)
Adware.PriceGong[/quote]
Надо было зачистить AdwCleaner. Чтобы лишнюю программу для лечения не ставить.
Другие специализируются на вирусах, а тут Адваре.
По идее Мбам должен был найти и зачистить запросто. Я просто побоялся его применять на компьютере с Клиент-банком. Были случаи в моей практике, когда МБАМ запчасти от клиент-банка зачищал .
И так проблемма не решена. лог AdwCleaner
всё чисто
[ATTACH]404090[/ATTACH]
Запустил MBAM. Посмотрим что скажет. Лог приложу как отсканирует.
Лог Хиджака повтори.
вот мбам и hijackthis
refbook удалил. щас ребутну. напишу результат
Есть способ такой: отключаем AVG и смотрим какую нам стартовую страницу поставят. По ней можно попытаться определить какая программа это делает.
Не помогло.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Ок. щас попробую
Это просто резидентная защита AVG сработала. Ее тяжело отключать. Постараюсь из дома написать один из вариантов. Удаленно утилитами это сделать тяжело. Твоими руками будем делать.
AVG из автозапуска убрал. Перезагрузился. Окошечко это от антивируса не выскакивает. но и стартовая страница никакая не поставилась. что в Opera стояла google.ru что в IE стоит google.ru
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
ок.
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Может сам файл explorer заражен? может из такойже сборки windows файл explorer.exe заменить на новый??
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
На вирус тотал отправил файл explorer.exe вот ссылка на инфу о том что выдало https://www.virustotal.com/ru/file/a2964c6302181f2d1a59333f1e5fbf90cbbab3b9e20d46f613983c0f2f8a0e04/analysis/1360931970/
Trojan.Win32.StartPage
Неудачная ссылка получилась, открываться не хочется.
Возможно, файл патченный.
Замени его и посмотри за самочувствием системы.
Скачал ваш файл из сообщения №6.
Загрузил Киберу, но он почему-то не ответил пока.
Проверил у себя KIS, чисто.
В архиве есть и explorer.exe, проверил его на вирустотал:
[url]https://www.virustotal.com/ru/file/a2964c6302181f2d1a59333f1e5fbf90cbbab3b9e20d46f613983c0f2f8a0e04/analysis/[/url]
Похоже ложное срабатывание.
Что у вас за система? Сборка какая-то?