Smaxxi.biz опять вылезла

[TonikYoung]

Скачивает отец мой на ноут всё и отовсюду подряд..Опять вылезает smaxxi.biz

вот все логи:

RSIT http://rghost.ru/24542551

AVZ http://rghost.ru/24542621

помогите плз

[safety]

сделайте образ автозапуска системы в uVS

обновите утилиту uVS до версии 3.71

или отсюда, для тех кто дружит с Avast (или GData)

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум.

[TonikYoung]

Готово вот архив

http://rghost.ru/24544661

[safety]

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:

;uVS v3.71 script [http://dsrt.dyndns.org]

delref HTTP://WWW.BIGSEEKPRO.COM/ELTIMA/{10B7D8CB-D3D2-4683-ADB5-7A9404C95CDF}?S_SRC=NEWTAB
delref HTTP://WWW.SMAXXI.BIZ
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
restart

перезагрузка, пишем о старых и новых проблемах.

[TonikYoung]

выполнил скрипт, комп перезагрузился
открываю ГуглХром - пишет "параметны не могут быть прочитаны", залез в параметры, настроил главную страницу как мне надо и т.д., перезагрузил комп, открываю хром - smaxxi.biz опять...

не может быть источником вот эта штука ? C:\Users\Tonik\AppData\Roaming\xarchzip\xarchzip.e xe

[safety]

может быть, но что-то этого файла не окзалась в образе автозапуска.
-----------
1. выполнить скрипт в avz

Выполните скрипт в AVZ:
Как выполнить скрипт http://pchelpforum.ru/f26/t24207/

Код:

begin
 QuarantineFile('C:\Users\Tonik\AppData\Roaming\xarchzip\xarchzip.exe','');
 DeleteFile('C:\Users\Tonik\AppData\Roaming\xarchzip\xarchzip.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winsmartzip');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

-----------
2. повторить скрипт выше, который был для uVS

3. пишем результат

---------- Добавлено в 15:30 ---------- Предыдущее сообщение было написано в 15:27 ----------

а вообщем, нет. в uVS он чистлится как проверенный.
-----------------

Цитата:

Полное имя C:\USERS\TONIK\APPDATA\ROAMING\XARCHZIP\XARCHZIP.E XE
Имя файла XARCHZIP.EXE
Тек. статус ПРОВЕРЕННЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ в автозапуске
Размер 1352752 байт
Создан 05.10.2011 в 17:48:50
Изменен 05.10.2011 в 17:48:50
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано SakuraSoftware

Доп. информация на момент обновления списка
SHA1 54942F2A12108DE1DBD5E82E6845A17C7680DFD2
MD5 97EBEE4E47AFF03D3FD7733D18C37B8E

Ссылки на объект
Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\Curren tVersion\Run\winsmartzip
winsmartzip "C:\Users\Tonik\AppData\Roaming\xarchzip\xarchzip. exe" autostar_1917

---------- Добавлено в 15:31 ---------- Предыдущее сообщение было написано в 15:30 ----------

значит другая причина. не уверен, что скрипт в uVS очищает страницы и для Chrome, уточню у разработчика программы.

[Vvvyg]

Цитата:

Сообщение от safety

в uVS он чистлится как проверенный.

Вот-вот, я вчера тоже нарвался...

[safety]

Vvvyg,
значит это адваре?

Цитата:

Цифр. подпись Действительна, подписано SakuraSoftware

---------- Добавлено в 15:44 ---------- Предыдущее сообщение было написано в 15:38 ----------

похоже, что так. посмотрел в теме
http://pchelpforum.ru/f26/t72508/#post628741
значит удаляем его в АВЗ безжалостно

[TonikYoung]

так ну значить какие мои действия сейчас ?
скрипт в авз вышеописанный выполнить?

[safety]

+
TonikYoung,
вышлите карантин AVZ в почту:
safety.alt@gmail.com
-----------

Код:

 begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 end.

Файл quarantine.zip из папки AVZ пришлите в почту safety.alt@gmail.com

---------- Добавлено в 15:47 ---------- Предыдущее сообщение было написано в 15:46 ----------

Цитата:

Сообщение от TonikYoung

так ну значить какие мои действия сейчас ?
скрипт в авз вышеописанный выполнить?

---------
да,
1. выпонлить скрипт в AVZ

2. выполнить скрипт очистки в uVS

3. отправить карантин в указанную почту
------------------
пишем результат

[Vvvyg]

safety, дык, от оно как... Размер, кстати, тот же, а хэши разные, так что по сигнатуре бесполезно определять. Сделаешь критерий поиска?

---------- Добавлено в 12:52 ---------- Предыдущее сообщение было написано в 12:51 ----------

Ну и автора uVS надо известить, а то, кстати, и базы 3 недели не обновлялись.

[TonikYoung]

сделал всё вышеописанное - не помогло, после перезагрузки опять стартовая - smaxxi.biz

[safety]

так проверил сейчас
--------------------

Цитата:

Полное имя C:\USERS\TONIK\APPDATA\ROAMING\XARCHZIP\XARCHZIP.E XE
Имя файла XARCHZIP.EXE
Тек. статус ?ВИРУС? ПРОВЕРЕННЫЙ в автозапуске

www.virustotal.com 2011-10-06 [2011-10-06]
DrWeb Trojan.SMSSend.1552

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ в автозапуске
Размер 1352752 байт
Создан 05.10.2011 в 17:48:50
Изменен 05.10.2011 в 17:48:50
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано SakuraSoftware

Доп. информация на момент обновления списка
SHA1 54942F2A12108DE1DBD5E82E6845A17C7680DFD2
MD5 97EBEE4E47AFF03D3FD7733D18C37B8E

Ссылки на объект
Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\Curren tVersion\Run\winsmartzip
winsmartzip "C:\Users\Tonik\AppData\Roaming\xarchzip\xarchzip. exe" autostar_1917

критерий здесь возможно не поможет, если приоритет будет проверенный файл. Напишу разработчику.

[TonikYoung]

файл карантина не отправляется ) яндекс обнаруживает в нем вирус )

отправил с gmail.com

[safety]

новые логи: uVS, avz