Решена Opera 12.17 и вредоносный сайт на стартовой странце

Тема в разделе "Лечение компьютерных вирусов", создана пользователем minka80, 25 май 2014.

Статус темы:
Закрыта.
  1. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Доброго времени суток!
    У меня возникла проблема с Оперой (12.17) и сайтом "http://isoftin.meximas.com/".
    Собственно, эта проблема решалась в теме http://safezone.cc/threads/opera-12-16-nevozmozhno-izmenit-startovuju-stranicu.22842/
    Ситуация у меня такая же: при открытии Оперы автоматически открывается сайт, при этом в настройках ничего изменить нельзя. В ярлыке на Оперу ссылка на сайт не прописана, в "opera:config" изменить URL домашей страницы нельзя, отсутствует файл operaprefs_fixed.ini и др. файлы с маской operaprefs*.* . Может быть Вы и мне поможете с решением этой проблемы?

    Я не совсем поняла решение, но как видно из переписки в похожей теме форума надо установить ComboFix, создать лог и прислать специалисту, так?
     
    Последнее редактирование модератором: 25 май 2014
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Combofix без рекомендации запускать нельзя.
    Сделайте логи AutoLogger-ом по правилам http://safezone.cc/threads/15/
     
  3. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Сделала.
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Код (Text):
    C:\Users\user\AppData\Local\VkButton\plura\plura_autorun.exe
    это вам знакомо?

    Удалите приписку
    Код (Text):
    magicianhouse.org
    из следующих ярлыков
    Код (Text):
    C:\Users\user\Desktop\Mozilla Firefox.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
    C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    QuarantineFileF('C:\Users\user\AppData\Local\VkButton\plura\','*', true,'',0 ,0);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
     
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS
     
  5. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Сама программа установлена, да, но plura - даже не знаю что это


    Уже были удалены до обращения к Вам. Причём в ярлыке Оперы этой приписки не было.

    Отправила.
     

    Вложения:

  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    значит эти ярлыки пропустили, так как в логе засветилось.

    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.82.5 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1

      OFFSGNSAVE
      BREG
      delref HTTP://MAGICIANHOUSE.ORG/
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    6. Подробнее читайте в этом руководстве.
    прикрепите новый лог uVS
    + - сделайте лог CheckBrowserLnk
    + карантина я не вижу ещё раз отошлите на почту, а также закачайте на rghost.ru и ссылку на скачивание ко мне в ЛС.

    что с проблемой?
     
  7. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Всё, зашла в нужную папку и там исправила.

    Карантин отправила на почту.
    К сожалению, на rghost не успела загрузить, так как возникли проблемы с интернетом (кто-то перерезал провода - facepalm).
    Поэтому дальнейшие инструкции выполнить пока не могу. Как только решится проблема с интернетом, тут же вышлю все недостающие файлы.
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    нашёл, так что на rghost уже не надо (правда архив с карантином пустой).

    Так что как будет возможность жду новые логи и ответа, что с проблемой.
     
  9. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Ненужная ссылка больше не открывается) Спасибо огромное!
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  11. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Security Check by glax24 version 0.2.5.61 rc2
    WebSite: www.safezone.cc
    DateLog: 03.06.2014 13:50:19
    Run directory: C:\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    FileVersionInet: 7.5
    __________________________________________________

    Windows 7 (6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
    Дата установки ОС: 03.11.2013 12:51:49
    Статус лицензии: Windows(R) 7, Professional edition Срок истечения многопользовательской активации: 259140 мин.
    Системный диск: C:\ ФС: NTFS Емкость: [100.6 Гб] Занято: [70.9 Гб] Свободно: [29.7 Гб]
    Браузер по умолчанию: C:\Program Files\Opera x64\Opera.exe
    -------------Windows------------------------------
    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    Контроль учётных записей пользователя отключен

    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Запрос на повышение прав для администраторов отключен
    Автоматическое обновление отключено (-1)

    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    Восстановление системы отключено
    -------------Antivirus_WMI------------------------
    Kaspersky Internet Security
    Антивирус обновлен
    -------------Firewall_WMI-------------------------
    Kaspersky Internet Security
    -------------AntiSpyware_WMI----------------------
    Kaspersky Internet Security
    Windows Defender
    -------------AntiVirusFirewallInstall-------------
    Kaspersky Internet Security v.14.0.0.4651
    -------------AppleProduction----------------------
    Bonjour v.3.0.0.10
    Служба Bonjour (Bonjour Service) - Служба работает
    -------------AdobeProduction----------------------
    Adobe Flash Player 13 Plugin v.13.0.0.214
    Adobe Reader XI (11.0.07) - Russian v.11.0.07 [+]
    -------------Browser------------------------------
    Opera 12.17 v.12.17.1863
    Google Chrome v.35.0.1916.114 [+]
    -------------RunningProcess-----------------------
    C:\Program Files\Opera x64\opera.exe v.12.17.1863.0
    C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.35.0.1916.114
    -------------EndLog-------------------------------
    --- Объединённое сообщение, 3 июн 2014 ---
    Единственное, теперь изрядно тупит ВКонтакте. Не пзволяет загружать фотографии и для новых сообщений приходится перезагружать страницу. В обоих браузерах теперь такое.
     
    Последнее редактирование: 3 июн 2014
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    обязательно включите и установите все обновления безопасности. Похоже вы их вообще ни разу не ставили :Punish:
    +
    Включите UAC и обновите IE.

    известный баг Opera 12.16, 12.17 под x64. Рекомендую скачать Opera 12.14
    32-bit / 64-bit и проверить работу в ней. (после этой версии комманду разработчиков разогнали, так что она самая стабильная из последних).
     
    Sandor нравится это.
  13. minka80
    Оффлайн

    minka80 Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Сделала.


    Теперь нормально работает.

    Ещё раз большое спасибо за помощь)
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
Статус темы:
Закрыта.

Поделиться этой страницей