http://www.smaxi.net/

[Helen_K]

Здравствуйте! У меня такая проблема: не могу изменить стартовую страницу браузера, все время открывается со страницы http://www.smaxi.net/. Посмотрите, пожалуйста.

[Acidorum]

Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Helen\Application Data\winxarj\winzip.exe','');
DeleteFile('C:\Documents and Settings\Helen\Application Data\winxarj\winzip.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxrar');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Сделайте повторные логи.

[Helen_K]

Не помогло. Карантин закачала,
Файл сохранён как 110413_184354_quarantine_4da5eeeadf163.zip
Размер файла 33943
MD5 8084b7c3207e1bd29d4f63dd790273d1
Не могу сделать "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info", остается меньше минуты и виснет намертво...

[Acidorum]

В принципе, больше ничего подозрительного. Давайте ещё одного проверим.
Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Затем выполните ещё один скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).

[Helen_K]

Все осталось как было...
Файл сохранён как 110413_192130_quarantine_4da5f7baa255c.zip
Размер файла 99657
MD5 ec74dd951b02c3474af50a1b4f426262

[Acidorum]

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Сделайте повторный лог HijackThis.
Сделайте лог MBAM.

[Helen_K]

Никаких изменений...

[Acidorum]

Удалите в MBAM:

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6D125299-C2A9-4DBC-BEC3-6F7124E39A41} (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.

Заражённые папки:
c:\documents and settings\Helen\application data\FieryAds (Adware.FieryAds) -> No action taken.

Заражённые файлы:
c:\documents and settings\Helen\application data\FieryAds\fieryadsuninstall.exe (Adware.FieryAds) -> No action taken.
c:\documents and settings\Helen\application data\fieryads.dat (Adware.FieryAds) -> No action taken.

Сделайте повторный лог MBAM.

[Helen_K]

Удалила, но этой гадости видимо все нипочем. Теперь еще кроме http://www.smaxi.net/ иногда стартовая загружается с http://odnolubovniki.me/. Можно что-то еще сделать?

[polword]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3, см.тут
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут

После обновления:
- Сделайте повторные логи по правилам п.1-3 раздела Диагностика.(virusinfo_syscure.zip;virusinfo_syscheck.zip; hijackthis.log)

[Helen_K]

Обновления сделала, проблема осталась. "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" сделать по-прежнему не получается, виснет. Вот остальные логи:

[thyrex]

В каком браузере проблема?

Пофиксите в HiJack

Код:

O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe

[Helen_K]

Мозилла

[thyrex]

Сделайте лог ComboFix

[Helen_K]

Спасибо за помощь! Консоль восстановления загружать не стала, вот лог:

[thyrex]

В папке c:\documents and settings\Helen\Application Data\Mozilla\Firefox\Profiles\ltphancl.default\ найдите файл prefs.js и удалите в нем строку browser.startup.homepage - http://www.smaxi.net

[Helen_K]

Да что такое!!! И это не помогло...
Удалила, сохранила, перезагрузила - строка browser.startup.homepage - http://www.smaxi.net снова на прежнем месте.

[thyrex]

Поищите среди дополнений Firefox неизвестное Вам и удалите
Поищите упоминания в реестре данного сайта

[Helen_K]

Все получилось, спасибо большое за помощь!!!!!

[thyrex]

Удалите ComboFix