Перенаправление на левый сайт при открытии браузера! [Trojan-Downloader.MSIL.Agent.hqd, Trojan.MSIL.Agent.fnfy ]

[thyrex]

Сделайте лог Check Browsers' LNK

[Boogdan]

Опера и Хром вылечился, ИЕ и Мазила нет, хотя и в ИЕ и в мазиле в поле обьект нету посторонних записей. В реестре в поле Start Page до сих пор стоит значение ads.ads-ki.com

- - - - -Добавлено - - - - -

Ой извините, я на автомате уже и прогнал через clearLNK. Вот сами логи с Check Browsers' LNK

- - - - -Добавлено - - - - -

Спустя 2 часа опять вирус вернулся в оперу и хром( Система даже не перезагружалась. Все работало в обычном режиме.

[thyrex]

Сделайте лог ComboFix

[Boogdan]

сделал

- - - - -Добавлено - - - - -

Списался я еще с человеком, у которого была та же проблема и который вылечился. И он говорит, что ему помогло то, что убил какой-то процесс с автозагрузок + потер его корни и на диске. Цитирую:
"C:\Users\admin\AppData\Roaming\glister в этой папке помимо nvm.dll была куча всякого барахла, я сделал следующее: 1) скопировал всю папку glister на флешку (на тот случай, если понадобится восстановить ее) 2) удалил ее полностью, перезагрузил компьютер. Папка восстановилась автоматически и в ней осталось только 2 файла nvm и nvm.dll"

Сделал я свой скрин полных автозагрузок (прикрепляю) и смотрю, что и у меня есть какой-то непонятный процесс reg_svr, который исходит с той же папки, что и у него c:\users\Богдан\appdata\roaming\glister\nvm.dll. Перешел я в эту папку и тут есть 3 файла: nvm, nvm.dll (скрытый) и mss_update.exe (скрытый)...вот на счет последнего файла очень сомневаюсь нужен ли он и не в нем ли вся беда. Что скажите, может удалить его или сделать так как тот человек удалив всю папку?

[thyrex]

Пофиксите в HiJack

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.ads-ki.com

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

Firefox::
FF - ProfilePath - c:\users\Богдан\AppData\Roaming\Mozilla\Firefox\Profiles\u1jlw2z0.default\
FF - prefs.js: browser.startup.homepage - hxxp://ads.ads-ki.com

DirLook::
c:\users\Богдан\AppData\Roaming\Steam
c:\users\Богдан\AppData\Roaming\glitz

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Boogdan]

сделано

[thyrex]

Жду ответа из вирлаба по Вашим файлам из вчерашнего карантина

[Boogdan]

Хорошо, спасибо, ждем

[Boogdan]

напоминаю про себя на всякий случай)

[thyrex]

C:\Users\Богдан\AppData\Roaming\glister
c:\users\Богдан\appdata\roaming\glitz
c:\users\Богдан\appdata\roaming\identities

под снос со всем содержимым

[Boogdan]

Cнес. За это время ИЕ и мазила заново заразились, ну и хром и опера тоже. Провести опять процедуры описанные в сообщениях #21 #25?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Boogdan]

Проблемка)
Подскажите, пожалуйста, как почистить историю вложений, а то уже не могу добавить новые файлы, а старые не нахожу как удалить с архива вложений

[thyrex]

Подскажите, пожалуйста, как почистить историю вложений

Мой кабинет - Вложения

[Boogdan]

есть

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  HKU\S-1-5-21-1485280063-2597048751-2304792302-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  SearchScopes: HKU\S-1-5-21-1485280063-2597048751-2304792302-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=ru_US&apn_ptnrs=FV&apn_dtid=YYYYYYYYUA&apn_uid=AD3E1B3E-1166-4B65-88A2-2477F6C606EF&apn_sauid=BDB12C4E-45CB-4384-A96C-1FE4C93DBA4D
  SearchScopes: HKU\S-1-5-21-1485280063-2597048751-2304792302-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
  BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
  Toolbar: HKU\S-1-5-21-1485280063-2597048751-2304792302-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
  Toolbar: HKU\S-1-5-21-1485280063-2597048751-2304792302-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  FF Homepage: hxxp://ads.ads-ki.com
  FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\priceru.xml
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Boogdan]

сделано. Ярлыки еще заражены

[thyrex]

Check_Browsers_LNK.log новый сделайте

[Boogdan]

Хром, опера, мазила чистые. Ие заражен

[thyrex]

Лог HiJack сделайте