Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Подмена домашней страницы на http://darberry.ru/signup (заявка № 92136)

  1. #1
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26

    Подмена домашней страницы на http://darberry.ru/signup

    В IE и Firefox при открытии либо закрытии (тут уж не понять) программы домашняя страница меняется на darberry.ru/signup. Если в работающем броузере поменять домашнюю страницу, то все ок, пока он не будет закрыт и не запушен заново.
    В Опере такого не наблюдается, правда страницы в Опере открываются не с первого раза. Это появилось вместе с проблеммой в фоксе и ИЕ.
    Сканирование Касперским, avz4, Cureit и Ad-Aware ничего не дало

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\Temp\~DF3B21.tmp','');
     QuarantineFile('C:\WINDOWS\Temp\~DF56D2.tmp','');
     QuarantineFile('C:\WINDOWS\Temp\~DFA167.tmp','');
     QuarantineFile('C:\WINDOWS\Temp\~DFCA66.tmp','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('explorer.exe,C:\Documents and Settings\Пользователь\Application Data\Microsoft\Windows\shell.exe','');
     QuarantineFile('C:\WINDOWS\System32\winlogon.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\svchost.exe','');
     QuarantineFile('C:\Documents and Settings\Пользователь\Application Data\Loofyf\uqluf.exe','');
     QuarantineFile('C:\WINDOWS\mkdrv.sys','');
     DeleteService('MRxCls');
     DeleteService('MRxNet');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxnet.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\mrxcls.sys','');
     TerminateProcessByName('c:\documents and settings\Пользователь\application data\microsoft\windows\shell.exe');
     TerminateProcessByName('c:\documents and settings\Пользователь\application data\microsoft\svchost.exe');
     QuarantineFile('c:\documents and settings\Пользователь\application data\microsoft\svchost.exe','');
     QuarantineFile('c:\documents and settings\Пользователь\application data\microsoft\windows\shell.exe','');
     DeleteFile('c:\documents and settings\Пользователь\application data\microsoft\windows\shell.exe');
     DeleteFile('c:\documents and settings\Пользователь\application data\microsoft\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxcls.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\mrxnet.sys');
     DeleteFile('C:\WINDOWS\mkdrv.sys');
     DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Loofyf\uqluf.exe');
     DeleteFile('explorer.exe,C:\Documents and Settings\Пользователь\Application Data\Microsoft\Windows\shell.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\Temp\~DFCA66.tmp');
     DeleteFile('C:\WINDOWS\Temp\~DFA167.tmp');
     DeleteFile('C:\WINDOWS\Temp\~DF56D2.tmp');
     DeleteFile('C:\WINDOWS\Temp\~DF3B21.tmp');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('TSW', 2, 2, true);
     ExecuteWizard('SCU', 2, 2, true);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    - Сделайте лог MBAM

  4. #3
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26

    Подмена домашней страницы на http://darberry.ru/signup

    Все сделал, как было сказано.
    Прикладываю результаты.
    Отмечу, что проблема не ушла.
    Последний раз редактировалось Rina1990; 21.11.2010 в 17:28.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    1.удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mycentria (Trojan.Dropper) -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DARKNESS (Trojan.Backdoor) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Darkness (Trojan.Backdoor) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.
    
    Зараженные папки:
    C:\Program Files\MyCentria (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\Firefox (Adware.MyCentria) -> No action taken.
    C:\Program Files\MyCentria\InfoBar (Adware.MyCentria) -> No action taken.
    2.Профиксите в HijackThis
    Код:
    F3 - REG:win.ini: load=C:\WINDOWS\TEMP\dwm.exe
    O4 - HKLM\..\Run: [Recycler] C:\RECYCLER.lnk
    3.Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\WINDOWS\system\dwm.exe','');
     DeleteService('darkness');
     DeleteFile('C:\WINDOWS\system\dwm.exe');
     QuarantineFile('C:\Documents and Settings\Пользователь\Мои документы\Файлы Mail.Ru Агента\suurv@mail.ru\kulakova_diana@mail.ru\Воть.exe','');
     QuarantineFile('D:\Новая папка\Файлы Mail.Ru Агента\suurv@mail.ru\kulakova_diana@mail.ru\Воть.exe','');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  6. #5
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Мда. Я уже удалил MBAM как было написано. Придется снова сканировать???Полная проверка занимает много времени, нельзя ли проверить Быстрой?

  7. #6
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    В IE все норм.
    В FireFox так же пытается открыть этот сайт, но пишет :"Прокси-сервер отказывается принимать соединения".
    Так же Фокс не открывет ни один сайт и так же пишет "Firefox настроен на использование прокси-сервера, который отказывает в соединении.".
    Опера так же не открывает ни один сайт: "Невозможно подключиться к прокси-серверу. Доступ запрещён"
    Последний раз редактировалось Rina1990; 21.11.2010 в 18:13.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Цитата Сообщение от Rina1990 Посмотреть сообщение
    В FireFox так же пытается открыть этот сайт, но пишет :"Прокси-сервер отказывается принимать соединения".
    Так же Фокс не открывет ни один сайт и так же пишет "Firefox настроен на использование прокси-сервера, который отказывает в соединении.".
    Опера так же не открывает ни один сайт: "Невозможно подключиться к прокси-серверу. Доступ запрещён"
    В настройках браузеров, видимо, прописался прокси-сервер. Проверяйте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    В настройках браузеров, видимо, прописался прокси-сервер. Проверяйте
    Да.Поменял.Но проблема [url] осталась(
    Последний раз редактировалось Никита Соловьев; 22.11.2010 в 17:05. Причина: подозрительная ссылка удалена.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,353
    Вес репутации
    3019
    Сделайте лог ComboFix

    Проверьте в ярлыках запуска браузеров не прописался ли этот сайт в качестве "хвоста"
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте лог ComboFix

    Проверьте в ярлыках запуска браузеров не прописался ли этот сайт в качестве "хвоста"
    Вот лог.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    c:\windows\system32\winlogon.exe, c:\windows\explorer.exe замените на чистые http://virusinfo.info/showthread.php?t=51654
    Заплатки на виндовс ставите?

  13. #12
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Цитата Сообщение от snifer67 Посмотреть сообщение
    c:\windows\system32\winlogon.exe, c:\windows\explorer.exe замените на чистые http://virusinfo.info/showthread.php?t=51654
    Заплатки на виндовс ставите?
    Нет.Винда чистая, без наваротов.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Замените файлы, которые указал. И обновите виндовс http://windowsupdate.microsoft.com

  15. #14
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Есть ли какие-либо другие варианты замены файлов? Я не совсем понял ту инструкцию. ОЧень усложнена. К сожалению с компьютером не совсем на ты.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    С Live CD можно заменить файлы. Нужные файлы берете из %systemroot%\system32\dllcache или %systemroot%\ServicePackFiles\i386, или с аналогичной системы.

  17. #16
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Скачал Live CD, но не понимаю как ей пользоваться.Экзешник весит всего 800 кб, но она висит в прявом нижнем углу, возле значков.Щелчком открывается только "О программе". Live CD Николая Калмыкова.Работает только нажание ПКМ и прелагает открыть/закрыть СД Ром, блокировать/разблокировать, задействовать/оотключить СД рум.И незнаю как сделать замену(

  18. #17
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    Цитата Сообщение от Rina1990 Посмотреть сообщение
    Live CD Николая Калмыкова
    Live CD Глаши Пупкиной работает ещё хуже. Скачайте ERD Commander

  19. #18
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Так что же делать???
    Каждый отдельный хельпер советует что то свое и отличное от других.Уже весь комп во всяких прогах разных.Зачем тогда мне нужно было качать Лайв СД???

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Никита Соловьев
    Регистрация
    15.02.2009
    Сообщений
    13,126
    Вес репутации
    929
    ERD Commander это и есть Live CD. Вы скачали что-то не то.

  21. #20
    Junior Member Репутация
    Регистрация
    21.11.2010
    Сообщений
    13
    Вес репутации
    26
    Любую версию необходимо скачать или последнюю?

  • Уважаемый(ая) Rina1990, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Изъять http://sitessearch.net из домашней страницы.
      От beerius в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.03.2012, 21:29
    2. Подмена домашней страницы на http://darberry.ru
      От gukovsem в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 03.12.2010, 10:00
    3. Ответов: 12
      Последнее сообщение: 20.11.2010, 15:05
    4. Подмена домашней интернет страницы.
      От Sergmax в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.07.2008, 01:06
    5. Ответов: 1
      Последнее сообщение: 16.02.2008, 19:55

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00479 seconds with 16 queries