Решена - Возможно троян,меняет стартовую страницу и сбивает настройки в FF

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем GolDdos9pro, 18 мар 2013.

  1. GolDdos9pro

    GolDdos9pro Junior User

    На днях захотелось скачать манкрафт(игра такая),нашёл один сайт(будет указан ниже) ,скинул установщик,ещё тогда заподозрил не ладное:( потому как майн всегда представляет из себя архив с дистрибутивом...
    В итоги установил майн благополучно установился,а дальше происходило всё что указано в заголовке(FF браузер по умолчанию)! Предпринятые действия: удалил всё что связанно с эти майном с сайта (www*minecraft-goldmods*ru/games-klients/962-skachat-minecraft-147-besplatno*html )почистил комп с помощью CCleaner и Vit Registry Fix 9.5,потом проверил ДОКТОР ВЕБ сканиром(ни чего не нашёл),потом авастом(причём до загрузки системы)... ничего этим не добился... нашёл временное решение создать файл сценария "user"...Но вредоносное ПО осталось и хотелось бы найти его! Переустановливать винду не хотелось бы! За ранние СПАСИБО за помощь!
    http://rghost.ru/44585294 uvs_v377

    http://rghost.ru/44585313 HiJackThis

    http://rghost.ru/44585320 avz4
     
    Последнее редактирование модератором: 5 апр 2013
  2. oleg

    oleg Expert Вирусоборец

    Доброе время суток!

    1. Отключите антивирус/файрволл.

    2. Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
    - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли
    - если вы используете Opera, нажмите Opera - Select All - Empty Selected
    - нажмите No, если вы хотите оставить ваши сохраненные пароли


    3. Выполните скрипт в uVS (как выполнить скрипт):
    Код:
    ;uVS v3.77.1 script [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delall D:\PROGRAM FILES\PLANETSIDE 2\PLANETSIDE2.EXE
    delall D:\PROGRAM FILES\BLUR\BLUR.EXE
    regt 1
    regt 2
    regt 12
    regt 14
    regt 18
    regt 20
    deltmp
    delnfr
    restart
    
    После выполнения скрипта, компьютер будет перезагружен.

    4. Cделайте лог MBAM и дайте ссылку на файл лога.

    Если форум оказался полезен вам, пожалуйста, поддержите его работу -
     
  3. GolDdos9pro

    GolDdos9pro Junior User

    уже вижу хотите удалить файлы
    BLUR.EXE PLANETSIDE2.EXE? Я конечно прогоню скрип,но уверен что дело не в них=)
     
  4. GolDdos9pro

    GolDdos9pro Junior User

    Вроде всё работает норм!Не могли бы вы сказать де эта тв*рь пряталась(хоть примерно) вот ссылка http://rghost.ru/44586236
     
  5. GolDdos9pro

    GolDdos9pro Junior User

    ОООП ошибачка 3-й раз перезагрузил всё опять так же!(
     
    Последнее редактирование: 19 мар 2013
  6. GolDdos9pro

    GolDdos9pro Junior User

    так что делать?! Либо мерится что где то в компе сидит этот вирусняк(в принципе как я уже писал, я нашёл способ избежать смены старт страницы и сброса настроек ), либо винду сносить?
     
  7. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

  8. GolDdos9pro

    GolDdos9pro Junior User

    Последнее редактирование: 21 мар 2013
  9. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    если проблема осталась, попробуйте полностью удалить браузер и заново его установить.
     
  10. GolDdos9pro

    GolDdos9pro Junior User

    Пробывал и не 1 раз! Он явно не в ФФ сидит!(даже после удаления всё клинером чистил,потом АФТклинером потом Vit Registry Fix 9.5 ) А можно заражённый установщик как-нибудь "разобрать" и посмотреть куда что устанавливалось...(ссылка на него в 1-ом моём сообщении main )
     
    Последнее редактирование: 22 мар 2013
  11. GolDdos9pro

    GolDdos9pro Junior User

    и тишина!...)
     
    Последнее редактирование: 31 мар 2013
  12. GolDdos9pro

    GolDdos9pro Junior User

    воот...
     
  13. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

  14. GolDdos9pro

    GolDdos9pro Junior User

    СПАСИБО большое за попытки помочь! Я нашёл где прятался вирусняк...удалил раза 3-и перезагрузил комп,вроде всё норм!
     
  15. Angel-iz-Ada

    Angel-iz-Ada Вирусоборец

    Если проблема решена, то:
    При наличии на ПК доступа в интернет выполните следующий скрипт в AVZ:
    Код:
    begin
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
     If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
     Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
     if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
     else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.
     
  16. GolDdos9pro

    GolDdos9pro Junior User

    я в начале говорил что удалил весь заражеённый контент(тобишь майн) ,а потом я установил другой и какимнто образом в дистрибутив попал вирусняк с прошлой установки! короч я так понял тот 1-й установщик по накопирывал ссылок на сайт+какие-то параметры к ним ,что б она (ссылка) была домашней стр. я почтивсе такие файлы удалил,а один в новом майне запрятался! вот...
     

Поделиться этой страницей