В качестве стартовой ставится smaxxi.biz во всех браузерах

Jon-SC · 05.11.2011, 08:23

В качестве стартовой ставится smaxxi.biz во всех браузерах
подхватил троян при распаковке архива
запускал всевозможные скрипты для AVZ, вычистил подозрительные строки через хайджек , но зараза не уходит сигнализbрует о смене страницы Яндекс.защитник (praetorian.exe)
http://zalil.ru/31996141 (лог из rsit)
http://zalil.ru/31996144 (лог из avz)

http://zalil.ru/31996145 (info.txt из rsit)

Гризлик · 05.11.2011, 08:29

Цитата:

Сообщение от Jon-SC

http://zalil.ru/31996144 (лог из avz)

Не то. Нужен файл virusinfo_syscure.zip

Jon-SC · 05.11.2011, 08:57

http://webfile.ru/5647858

http://webfile.ru/5647859

hijackthis.log
http://webfile.ru/5647860

safety · 05.11.2011, 14:16

+
сделайте образ автозапуска системы в uVS

обновите утилиту uVS до версии 3.71

или отсюда, для тех кто дружит с Avast (или GData)

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве)
и ссылку добавляем на форум.

Jon-SC · 06.11.2011, 00:46

Цитата:

Сообщение от safety

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве)
и ссылку добавляем на форум.

http://webfile.ru/5649064 uVS "Полный образ автозапуска"

maksimog · 06.11.2011, 00:50

В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код:

;uVS v3.71 script [http://dsrt.dyndns.org]

delref HTTP://WWW.SMAXXI.BIZ
delref HTTP://WWW.SMAXXI.BIZ
regt 1
regt 2
regt 3
regt 14
regt 18
deltmp
delnfr

restart
И жмем выполнить.

ПК перезагрузится.

Jon-SC · 06.11.2011, 02:07

Цитата:

Сообщение от maksimog

В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

выполнил скрипт, после перезапуска постоянно Яндекс.Защитник (praetorian.exe) писал что изменилась стартовая страница в Opere, а сейчас написал что изменилась заглавная страница в Chrome на пустую, видимо где-то еще остались следы вирусного модуля.

---------- Добавлено в 01:04 ---------- Предыдущее сообщение было написано в 00:29 ----------

http://webfile.ru/5649160 uVS "Полный образ автозапуска"

---------- Добавлено в 01:07 ---------- Предыдущее сообщение было написано в 01:04 ----------

http://webfile.ru/5649160 uVS "Полный образ автозапуска"

Midav · 06.11.2011, 02:18

Да чего мудрить то, е-мое?.. Вебальта словили, первый раз что ли?..

1. Чтобы удалить навязчивую страницу из браузера, заходим в «Пуск» => «Выполнить».
2. В открывшемся поле вводим команду regedit.
3. В открывшемся редакторе реестра в меню выбираем – «Правка», а в нем «Найти».
4. В поле открывшегося окна поиска нужно вписать название сайта, который запускается при старте браузеров (в вашем случае smaxxi.biz) и нажимаем кнопку "Найти".
5. Внимательно смотрим! Те пункты реестра, где поиск нашел значение с названием сайта, просто напросто удаляем.
7. Повторяем данную процедуру (простым нажатием клавиши F3) до тех пор, пока поиск по реестру ничего не найдет.
8. Открываем браузер. В настройках меняем стартовую страницу (лично у меня сама поменялась)

З.Ы. Да и не забудьте закрыть все браузеры перед тем как реест чистить!

Jon-SC · 06.11.2011, 02:50

Цитата:

Сообщение от Midav

Да чего мудрить то, е-мое?.. Вебальта словили, первый раз что ли?..

1. Чтобы удалить навязчивую страницу из браузера, заходим в «Пуск» => «Выполнить».
2. В открывшемся поле вводим команду regedit.
3. В открывшемся редакторе реестра в меню выбираем – «Правка», а в нем «Найти».
4. В поле открывшегося окна поиска нужно вписать название сайта, который запускается при старте браузеров (в вашем случае smaxxi.biz) и нажимаем кнопку "Найти".
5. Внимательно смотрим! Те пункты реестра, где поиск нашел значение с названием сайта, просто напросто удаляем.
7. Повторяем данную процедуру (простым нажатием клавиши F3) до тех пор, пока поиск по реестру ничего не найдет.
8. Открываем браузер. В настройках меняем стартовую страницу (лично у меня сама поменялась)

З.Ы. Да и не забудьте закрыть все браузеры перед тем как реест чистить!

все это было проделано в первую очередь, не помогло избавиться.

Midav · 06.11.2011, 02:57

Цитата:

Сообщение от Jon-SC

все это было проделано в первую очередь, не помогло избавиться.

У двух друзей такая фигня была, просили помочь, все таким способ делал, все прекрасно прошло, потом сам словил и также все вычистил, главное внимательно реест смотреть, может пропустили чего, да и в браузерах потом по-новой стартовую не забыть поменять, а то может заглянули, увидели что все по-старому и решили, что не помогло...

Jon-SC · 06.11.2011, 12:32

http://webfile.ru/5649387 mbam.log
c:\Users\Jon\AppData\Roaming\validzip\validzip.exe (PUP.SmsPay) -> Not selected for removal.
c:\Users\Jon\AppData\Roaming\validzip\winzipj.exe (Trojan.FakeSMS) -> Quarantined and deleted successfully.
Вот похоже они

http://webfile.ru/5649390 uVS "Полный образ автозапуска"

---------- Добавлено в 10:01 ---------- Предыдущее сообщение было написано в 09:16 ----------

Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что. Но раз есть атака, значит есть и атакующий.

---------- Добавлено в 11:32 ---------- Предыдущее сообщение было написано в 10:01 ----------

http://webfile.ru/5649515 virusinfo_syscheck.zip свежий

Jon-SC · 06.11.2011, 16:51

http://webfile.ru/5649995 virusinfo_syscure.zip

05.11.2011, 08:23	#1 (ссылка)
Jon-SC Новичок Регистрация: 04.11.2011 Сообщений: 7 Репутация: 0	В качестве стартовой ставится smaxxi.biz во всех браузерах В качестве стартовой ставится smaxxi.biz во всех браузерах подхватил троян при распаковке архива запускал всевозможные скрипты для AVZ, вычистил подозрительные строки через хайджек , но зараза не уходит сигнализbрует о смене страницы Яндекс.защитник (praetorian.exe) http://zalil.ru/31996141 (лог из rsit) http://zalil.ru/31996144 (лог из avz) http://zalil.ru/31996145 (info.txt из rsit)

05.11.2011, 08:57	#3 (ссылка)
Jon-SC Новичок Регистрация: 04.11.2011 Сообщений: 7 Репутация: 0	http://webfile.ru/5647858 http://webfile.ru/5647859 hijackthis.log http://webfile.ru/5647860 Последний раз редактировалось Jon-SC; 05.11.2011 в 09:06.

06.11.2011, 00:50	#6 (ссылка)
maksimog Мастер Регистрация: 08.07.2011 Сообщений: 6,292 Репутация: 631	В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена И вставляем текст скрипта ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! Код: ;uVS v3.71 script [http://dsrt.dyndns.org] delref HTTP://WWW.SMAXXI.BIZ delref HTTP://WWW.SMAXXI.BIZ regt 1 regt 2 regt 3 regt 14 regt 18 deltmp delnfr restart И жмем выполнить. ПК перезагрузится.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Во всех браузерах стартовой страницей стала smaxxi.	Анютик врединка	Безопасность	5	28.09.2011 00:18
В качестве стартовой открывается smaxxi.biz в браузере.	Snovabender	Безопасность	2	27.09.2011 21:54
Проблема со smaxxi во всех браузерах	Holelei	Безопасность	7	26.09.2011 18:10
В качестве стартовой открывается smaxxi.biz dj всех браузерах	sotiv	Безопасность	18	18.09.2011 17:39
В качестве стартовой открывается smaxxi.biz в Firefox	wex	Безопасность	7	08.09.2011 10:49

05.11.2011, 14:16	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ сделайте образ автозапуска системы в uVS обновите утилиту uVS до версии 3.71 или отсюда, для тех кто дружит с Avast (или GData) Распаковать архив, запустить файл Start.exe Появится окно программы - нажать "запустить под текущим пользователем". Далее - Меню Файл - Сохранить Полный образ автозапуска. Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве) и ссылку добавляем на форум.

06.11.2011, 02:18	#8 (ссылка)
Midav Новичок Регистрация: 06.11.2011 Сообщений: 42 Записей в блоге: 1 Репутация: 0	Да чего мудрить то, е-мое?.. Вебальта словили, первый раз что ли?.. 1. Чтобы удалить навязчивую страницу из браузера, заходим в «Пуск» => «Выполнить». 2. В открывшемся поле вводим команду regedit. 3. В открывшемся редакторе реестра в меню выбираем – «Правка», а в нем «Найти». 4. В поле открывшегося окна поиска нужно вписать название сайта, который запускается при старте браузеров (в вашем случае smaxxi.biz) и нажимаем кнопку "Найти". 5. Внимательно смотрим! Те пункты реестра, где поиск нашел значение с названием сайта, просто напросто удаляем. 7. Повторяем данную процедуру (простым нажатием клавиши F3) до тех пор, пока поиск по реестру ничего не найдет. 8. Открываем браузер. В настройках меняем стартовую страницу (лично у меня сама поменялась) З.Ы. Да и не забудьте закрыть все браузеры перед тем как реест чистить!

06.11.2011, 12:32	#11 (ссылка)
Jon-SC Новичок Регистрация: 04.11.2011 Сообщений: 7 Репутация: 0	http://webfile.ru/5649387 mbam.log c:\Users\Jon\AppData\Roaming\validzip\validzip.exe (PUP.SmsPay) -> Not selected for removal. c:\Users\Jon\AppData\Roaming\validzip\winzipj.exe (Trojan.FakeSMS) -> Quarantined and deleted successfully. Вот похоже они http://webfile.ru/5649390 uVS "Полный образ автозапуска" ---------- Добавлено в 10:01 ---------- Предыдущее сообщение было написано в 09:16 ---------- Похоже, что на данный момент под атакой остался лишь Google Chrome, в других браузерах стартовая страница не меняется пока что. Но раз есть атака, значит есть и атакующий. ---------- Добавлено в 11:32 ---------- Предыдущее сообщение было написано в 10:01 ---------- http://webfile.ru/5649515 virusinfo_syscheck.zip свежий

06.11.2011, 16:51	#12 (ссылка)
Jon-SC Новичок Регистрация: 04.11.2011 Сообщений: 7 Репутация: 0	http://webfile.ru/5649995 virusinfo_syscure.zip

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads