16.09.2011, 13:15 | #1 (ссылка) |
Новичок
Регистрация: 16.09.2011
Сообщений: 6
Репутация: 0
|
ВМППО которое меняет домашнюю страницу в браузере
Сразу расшифровка, чтобы не забивали голову расшифровкой аббревиатуры))
ВМППО - Вредное Мелкое Пакостное Программное Обеспечение. Доброго времени суток. У меня такая проблема - имеется 2 компьютера, на одном ( к глубокому сожалению) стоит Windows Vista, на втором ( к ещё большему сожалению) Windows 7 (ну или Viena, кому как нравится). Я скачал некий архив с одного варезного сайта- самораспаковывающийся архив занёс в систему что-то, что мне не нравится При включении браузера ( Firefox 6.0.2), установленная домашняя страница (yandex.ru) меняется на http://www.smaxxi.biz/ . Установил AVZ, сделал полный скан, включая скан скрытых и архивных файлов - ничего не было найдено. Искал на обоих компах разными способами оба файла : 1.C:\Users\Demien\AppData\Roaming\archsoft\archsta rt.e xe 2.C:\Users\Demien\AppData\Roaming\archsoft\htmlayo ut.d ll Таких фалов моя система не видит ( в папке Роаминг вообще нет папки АРЧсофт). Возникла мысль - а может быть разработчики этого ПО ( мелкого пакостного программного обеспечения, что меняет мне домашнюю страницу), переименовали свой вирус - и я зря 2 ночи сидел и искал эту пакость? Что до антивирусов то на 1 компе стоит лицензия Avast 4.8 Professional, на втором Каспер Инет Секьюрити 2012 ( хоть это и парадокс но после обновления пишет что он 2012) обновление программ и баз было выполнено пару-тройку дней назад. Теперь по делу: Выполнил 2 и 3 стандарт скрипты на компе с Вистой, так же сделал лог программой HijackThis. Выложил всё это( Лог HijackThis и virusinfo_syscure.zip, ну и протокол который писала программа AVZ при выполнении, на всякий пожарный) в архиве - вот тут. По аналогии выполнил 2 и 3 стандартные скрипты на компе с Виеной ( Windows 7), так же сделал лог HijackThis. И выложил это в ахиве ( напичканном тем же что и первый архив, только со второго компа) - выложенном вот тут. Надеюсь гуру по борьбе с ВМППО помогут, компьютерному нубу |
16.09.2011, 13:31 | #2 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Выполните скрипт в AVZ:
Как выполнить скрипт http://pchelpforum.ru/f26/t24207/ Код:
begin QuarantineFile('C:\Users\ТИГР\AppData\Roaming\zipfreerun\zipfreerun.exe',''); DeleteFile('C:\Users\ТИГР\AppData\Roaming\zipfreerun\zipfreerun.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxgz'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. далее выполните скрипт в AVZ: Код:
begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки AVZ пришлите в почту sendvirus2011@gmail.com ---------- Добавлено в 15:31 ---------- Предыдущее сообщение было написано в 15:30 ---------- и вот этот файл желательно проверить на Virustotal http://virustotal.com Цитата:
|
|
16.09.2011, 14:03 | #3 (ссылка) |
Новичок
Регистрация: 16.09.2011
Сообщений: 6
Репутация: 0
|
Вложенные скрипты и стандартный скрипт №2 выполнил, новый файл virusinfo_syscheck.zip- лежит вот тут
quarantine.zip отправил на указанную почту, с пометкой "quarantine.zip от пользователя wthorn" quarantine.zip проверить на http://virustotal.com/ не имею возможности - интернет Megafon USB modem, при таком "качественном" интернете сайт http://virustotal.com/ просто не открывается. ---------- Добавлено в 13:02 ---------- Предыдущее сообщение было написано в 12:59 ---------- C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.com - вряд ли что то вредоносное, т.к. Скачана программа с офф сайта Лаборатории Касперского и обновлялась с офф сервера обновления ( программа Лицензионная) ---------- Добавлено в 13:03 ---------- Предыдущее сообщение было написано в 13:02 ---------- "avp.com" был сразу с момента установки программы, а не добавился когда-то потом) |
16.09.2011, 14:05 | #4 (ссылка) | |
Знаток
|
Цитата:
|
|
16.09.2011, 14:08 | #5 (ссылка) | |
Новичок
Регистрация: 16.09.2011
Сообщений: 6
Репутация: 0
|
Цитата:
Немного отошли от темы |
|
16.09.2011, 14:17 | #6 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
сделайте дополнительно образ автозапуска в uVS
обновите утилиту uVS до версии 3.71 http://dsrt.dyndns.org/files/uvs_v371.zip Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум. ---------- Добавлено в 16:17 ---------- Предыдущее сообщение было написано в 16:10 ---------- скрипт АВЗ судя по syscheck не помог удалить, попробуем удалить в uVS |
16.09.2011, 14:28 | #7 (ссылка) |
Новичок
Регистрация: 16.09.2011
Сообщений: 6
Репутация: 0
|
Проблема исправлена - больше нежелательная страница не появляется, в место установленной мной домашней страницы)
Но всё же образ сохранил) На всякий случай - вот он Остаётся решить проблему со вторым компьютером под управлением Windows Vista ( требуемые архивы вложены в первом сообщении) ---------- Добавлено в 13:28 ---------- Предыдущее сообщение было написано в 13:21 ---------- О_о но после проверки ( перезагружал комп 4 раза и проверял открывая браузер) запускается именна та страница что установил я , а не та от которой я хотел избавиться. |
16.09.2011, 14:33 | #8 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вопрос по этой программе - легальная программа или левая, неизвестная?
------------- Цитата:
---------- Добавлено в 16:33 ---------- Предыдущее сообщение было написано в 16:32 ---------- для очистки можно выполнить скрипт в uVS -------------- закрыть браузеры перед выполнением скрипта выполнить скрипт в uVS меню - скрипты - выполнить скрипт из буфера обмена Код:
;uVS v3.71 script [http://dsrt.dyndns.org] delref HTTP://WWW.SMAXXI.BIZ deltmp delnfr regt 1 regt 2 regt 5 regt 18 restart |
|
Ads | |
16.09.2011, 15:30 | #9 (ссылка) | |
Новичок
Регистрация: 16.09.2011
Сообщений: 6
Репутация: 0
|
Да, та машина на которой становлена Виена - ноутбук от компании Леново, при покупке ноутбука в комплекте шёл пакет программ от компании производителя (Lenovo), программа УанКей, Вери Фейс и прочие ( которые в папке LENOVO) являются легальными, официальными и даже лицензионными)
---------- Добавлено в 13:47 ---------- Предыдущее сообщение было написано в 13:35 ---------- Цитата:
1. Домашняя страница всё равно стоит не моя, но на сей раз уже не тот непонятный сайт а просто http://firefox.yandex.ru/ ( вместо http://www.yandex.ru/) - но это собственно хорошо)) 2. После перезагрузки выходило сообщение о применении каких то дополнений Windows , хотя никаких дополнений и обновлений система ни скачивала. 3. Было сообщение о том что слетел драйвер на устройство Nvidia GeForce 9500 GT, но система сама нашла и установила этот драйвер. Так что всё хорошо) Кстати при выполнении скрипта в протоколе было написано что удалено 1673 файла с адресом того сайта от которого мы избавлялись - он самокопировался, я правильно понимаю? ---------- Добавлено в 13:53 ---------- Предыдущее сообщение было написано в 13:47 ---------- Эх говорила мне мама, хватит в своём фотошопе сидеть, иди на программиста учиться, а я ж не слушал - и зря!)) Спасибо Сэйфити, не знаю что без вас бы делал) От меня + ---------- Добавлено в 14:30 ---------- Предыдущее сообщение было написано в 13:53 ---------- P.S. Вот тот самый архив в котором содержится этот вирус ( ВЫКЛАДЫВАЮ ДЛЯ ОЗНАКОМЛЕНИЯ ПРОГРАММИСТОВ! УБЕДИТЕЛЬНАЯ ПРОСЬБА ПОЛЬЗОВАТЕЛЯМ - НЕ СКАЧИВАЙТЕ ЭТОТ ФАЛЙ, ЭТО ВИРУС!!!) - вот он setup.zip.exe (почему меня сразу не насторожило 2ое расширение...екс и зип...1 файл не может иметь 2 расширения...) И самый парадокс в том, что при сканировании этого файла - самый новый, лицензионный и обновлённый Каспер 2012 - пишет что файл безопасен ( на скрине видно) )) УЖС)) скрин |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|