Домашняя страница в браузере - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Домашняя страница в браузере (http://forum.oszone.net/showthread.php?t=201693)

Домашняя страница в браузере

При загрузке IE стартовая страница http://www.6fh.net/ Если в свойствах обозревателя ставлю пустую то при следующей загрузке стартовая страница другая http://www.6700.cn/?tn=9348&205465 или http://www.dianxin.cn/?Lnk какието китайцы.

В мозиле проблема немного другая страница http://www.zhaodao123.com/?h всегда одна и таже. Но тоже её не уберёш.
В опере этой проблемы нет

При запуске диспетчера задач доктор веб ругается на 23.ехе и 21.dll в папке C:\Program Files\Messenger когда её удаляю тобишь папку и снова нажимаю три клавиши она опять наместе и веб ругается. После запуска АВЗ проблема с этим исчезла но ДЗ не запускается.
И ещё не запускался HiJackThis. Пришлось переименовывать

Всё!!!!! Уже и в опере есть вот эта сволочь!!! http://www.ctel.ru/ и строка поиска яндекса вверху

щас посмотрю ваши логи

В опере я убрал. Удалил вот эти файлы opera6.ini и operaprefs_fixed.ini имеющие внутри текст
[User Prefs]
Startup Type=2
Home URL=http ://www.ctel.ru/
Search Type=5D74BE4FAE27408792FEEA4DBFAAF366 по пути C:\WINDOWS\system32

Перезагрузился и пока нету их

А в тех всё по прежнему

C:\WINDOWS\system32\DRIVERS\PAC7302.SYS устанавливали?

сами в файл HOSTS добавляли запись?

Цитата:

127.0.0.1 qup.f.360.cn

Проверьте на http://www.virustotal.com файл

Код:

C:\WINDOWS\system32\drivers\mzezr.sys

C:\WINDOWS\system32\RymxtuC.dll

C:\WINDOWS\system32\RrmutdC.dll

C:\WINDOWS\System32\gdqvvd.dll

C:\WINDOWS\system32\hidec

ссылки на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

 begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

StopService('FiieFox');

StopService('winhelp32');

StopService('DescriptionHero2');

 QuarantineFile('C:\WINDOWS\system32\RymxtuC.dll','');

 QuarantineFile('C:\WINDOWS\system32\RrmutdC.dll','');

 QuarantineFile('C:\WINDOWS\System32\gdqvvd.dll','');

 QuarantineFile('c:\windows\system32\winhelp32.exe','');

 QuarantineFile('c:\documents and settings\admin\application data\intranetexplorer.exe','');

 QuarantineFile('c:\windows\system32\qmntjgj\lsass.exe','');

 QuarantineFile('c:\program files\microsoft offica\spoolsv.exe','');

 QuarantineFile('c:\program files\microsoft office\svchost.exe','');

 QuarantineFile('C:\WINDOWS\system32\bajlk.exe','');

 QuarantineFile('C:\WINDOWS\system32\fiiefox.exe','');

 DeleteFile('C:\WINDOWS\system32\bajlk.exe');

 DeleteFile('C:\WINDOWS\system32\fiiefox.exe');

 DeleteFile('c:\windows\system32\winhelp32.exe');

 DeleteFile('c:\documents and settings\admin\application data\intranetexplorer.exe');

 DeleteFile('c:\windows\system32\qmntjgj\lsass.exe');

 DeleteFile('c:\program files\microsoft offica\spoolsv.exe');

 DeleteFile('c:\program files\microsoft office\svchost.exe');

 DelCLSID('{d72889ce-5fa0-a4f5-a4f5-60b11257e443}');

 DelCLSID('{LMS03AB-B707-11d2-9ABD-0000A87A369E}');

 DelCLSID('{LMS03AB-B707-11d2-9CBD-0000F87A369E}');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Intranet Patcher');

 DeleteService('winhelp32');

 DeleteService('DescriptionHero2');

 DeleteService('FiieFox');

DeleteFileMask('c:\windows\system32\qmntjgj', '*.*', true);

DeleteDirectory('c:\windows\system32\qmntjgj');

DeleteFileMask('c:\program files\microsoft offica', '*.*', true);

DeleteDirectory('c:\program files\microsoft offica');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(9);

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

повторите логи + сделайте лог МВАМ
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

и лог HiJackThis приложите, по идее должен запуститься

Цитата:

Цитата maniy77

C:\WINDOWS\system32\DRIVERS\PAC7302.SYS устанавливали?
сами в файл HOSTS добавляли запись »

Нет не устанавливали
Нет не добавляли. Я пытался удалить эту запись. Не вышло.
Остальное сейчас попробую

ок.. удалим следующим скриптом.. тогда лог хиджака сделайте обязательно!

файлик для проверки на VT добавила, будьте внимательны

Вот он

А на вт файл чтото не выходит. Стоит крутится крутится и потом БАД

Malwarebytes' Anti-Malware Не запускается. Пишет код ошибки 0 ,53

А проверки других файлов?

Цитата:

Цитата maniy77

C:\WINDOWS\system32\drivers\mzezr.sys
C:\WINDOWS\system32\RymxtuC.dll
C:\WINDOWS\system32\RrmutdC.dll
C:\WINDOWS\System32\gdqvvd.dll »

еще вот этот интересует

Код:

C:\WINDOWS\system32\IVAJ.dll

Пофиксить в HijackThis следующие строчки:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205465

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.9348.cn/?205465

O2 - BHO: (no name) - {1163E531-B58E-4BB9-B877-0906A0A22AEC} - (no file)

O2 - BHO: (no name) - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - (no file)

O21 - SSODL: nkv - {18b5c62f-903d-e582-a14e-903d4ea7d502} - (no file)

O22 - SharedTaskScheduler: csiddll - {C4560D12-CE25-4A2E-A5D4-B5070FCBE282} - (no file)

Страна: Russian Federation
Регион: Ростовская область
Город: Ростов-на-Дону
Провайдер: The branch Rostovelectrosviaz of Public Joint Stoc ?

Цитата:

Цитата ФИЛЯ

Malwarebytes' Anti-Malware Не запускается. »

почитайте http://safezone.cc/forum/showpost.ph...73&postcount=1

и делайте новые логи AVZ

Цитата:

Цитата maniy77

А проверки других файлов? »

На других выдает ошибку

Цитата:

Цитата maniy77

почитайте http://safezone.cc/forum/showpost.ph...73&postcount=1 »

Не помогло.

Прикрепите архивы virusinfo_syscure.zip и virusinfo_syscheck.zip из папки LOG

Если у вас установлен webmoney сохраните ключи в файл!

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Спасибо большое за помощь. Снес я операционку и сделал полное форматирование.
Оказывается ОС была установлена ещё три года назад и за эти три года она подвергалась заражению 6 раз. Последний раз у чела села батарейка и он два месяца был в инете без антивиря и когда запустил сканирование то зараженных объектов было 1200. Там программ не работало процентов 90. И это он мне сказал на второй день моих мучений.
Ещё раз больоше спасибо!!!