При открытии браузера(Оперы) открывается страница [url]http://www.ctel.ru/[/url].
При всех попытках изменить на другую страницу настройки остаются неизменны.
Printable View
При открытии браузера(Оперы) открывается страница [url]http://www.ctel.ru/[/url].
При всех попытках изменить на другую страницу настройки остаются неизменны.
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('c:\windows\system32\37118dca.exe');
DeleteFile('c:\windows\system32\4038d6dd.exe');
DeleteFile('c:\windows\system32\a3c1df2d.exe');
DeleteFile('c:\windows\system32\d08e42ae.exe');
DeleteFile('c:\windows\system32\edfyvb.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
3. Сделайте повторный лог [B]virusinfo_syscheck.[/B]
вот
Выполните скрипт в AVZ:
[CODE]begin
BC_DeleteSvc('FCI');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог HijackThis.
вот
Что с проблемой?
Пока изменений нет(
Выполните скрипт в AVZ:
[CODE]begin
RegSearch('HKLM', '', 'ctel');
SaveLog(GetAVZDirectory + 'avz.log');
end.[/CODE]
Прикрепите лог avz.log из папки AVZ.
Нашел в папке C:\WINDOWS\system32 файлы opera6.ini,operaprefs_fixed.ini. с Содержимым:
[User Prefs]
Startup Type=2
Home URL=http://www.ctel.ru/
Search Type=5D74BE4FAE27408792FEEA4DBFAAF366
Удалил их, и вроде настройки теперь меняются.
Стоит ли выполнять последний скрипт?
[QUOTE=vTIMAch;762666]Стоит ли выполнять последний скрипт?[/QUOTE]
Да, выполните.
вот
Выполните скрипт в AVZ:
[CODE]begin
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F244-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F24F-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F302-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F3C4-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F4CD-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F529-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F531-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F531-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F597-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F5ED-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F620-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F622-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F827-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3050F838-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3051043E-98B5-11CF-BB82-00AA00BDCE0B}');
RegKeyDel('HKLM', 'SOFTWARE\Classes\Interface\{3051049d-98b5-11cf-bb82-00aa00bdce0b}');
RebootWindows(true);
end.[/CODE]
Какие проблемы остались?
Нет, все спасибо)