• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Opera 12.17 и вредоносный сайт на стартовой странце

Статус
В этой теме нельзя размещать новые ответы.

minka80

Активный пользователь
Сообщения
7
Реакции
0
Баллы
231
Доброго времени суток!
У меня возникла проблема с Оперой (12.17) и сайтом "http://isoftin.meximas.com/".
Собственно, эта проблема решалась в теме http://safezone.cc/threads/opera-12-16-nevozmozhno-izmenit-startovuju-stranicu.22842/
Ситуация у меня такая же: при открытии Оперы автоматически открывается сайт, при этом в настройках ничего изменить нельзя. В ярлыке на Оперу ссылка на сайт не прописана, в "opera:config" изменить URL домашей страницы нельзя, отсутствует файл operaprefs_fixed.ini и др. файлы с маской operaprefs*.* . Может быть Вы и мне поможете с решением этой проблемы?

Я не совсем поняла решение, но как видно из переписки в похожей теме форума надо установить ComboFix, создать лог и прислать специалисту, так?
 
Последнее редактирование модератором:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,975
Реакции
6,120
Баллы
1,008
Combofix без рекомендации запускать нельзя.
Сделайте логи AutoLogger-ом по правилам http://safezone.cc/threads/15/
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,975
Реакции
6,120
Баллы
1,008
Код:
C:\Users\user\AppData\Local\VkButton\plura\plura_autorun.exe
это вам знакомо?

Удалите приписку
Код:
magicianhouse.org
из следующих ярлыков
Код:
C:\Users\user\Desktop\Mozilla Firefox.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
QuarantineFileF('C:\Users\user\AppData\Local\VkButton\plura\','*', true,'',0 ,0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
 

minka80

Активный пользователь
Сообщения
7
Реакции
0
Баллы
231
это вам знакомо?
Сама программа установлена, да, но plura - даже не знаю что это


Удалите приписку
Код (Text):
magicianhouse.org
из следующих ярлыков
Уже были удалены до обращения к Вам. Причём в ярлыке Оперы этой приписки не было.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы
Отправила.
 

Вложения

  • PC_2014-05-25_23-46-22.7z
    580.5 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,975
Реакции
6,120
Баллы
1,008
Уже были удалены до обращения к Вам. Причём в ярлыке Оперы этой приписки не было.
значит эти ярлыки пропустили, так как в логе засветилось.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.82.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    BREG
    delref HTTP://MAGICIANHOUSE.ORG/
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  6. Подробнее читайте в этом руководстве.
прикрепите новый лог uVS
+ - сделайте лог CheckBrowserLnk
+ карантина я не вижу ещё раз отошлите на почту, а также закачайте на rghost.ru и ссылку на скачивание ко мне в ЛС.

что с проблемой?
 

minka80

Активный пользователь
Сообщения
7
Реакции
0
Баллы
231
значит эти ярлыки пропустили, так как в логе засветилось.
Всё, зашла в нужную папку и там исправила.

Карантин отправила на почту.
К сожалению, на rghost не успела загрузить, так как возникли проблемы с интернетом (кто-то перерезал провода - facepalm).
Поэтому дальнейшие инструкции выполнить пока не могу. Как только решится проблема с интернетом, тут же вышлю все недостающие файлы.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,975
Реакции
6,120
Баллы
1,008
Карантин отправила на почту.
нашёл, так что на rghost уже не надо (правда архив с карантином пустой).

Так что как будет возможность жду новые логи и ответа, что с проблемой.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,975
Реакции
6,120
Баллы
1,008
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

minka80

Активный пользователь
Сообщения
7
Реакции
0
Баллы
231
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 03.06.2014 13:50:19
Run directory: C:\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.5
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 03.11.2013 12:51:49
Статус лицензии: Windows(R) 7, Professional edition Срок истечения многопользовательской активации: 259140 мин.
Системный диск: C:\ ФС: NTFS Емкость: [100.6 Гб] Занято: [70.9 Гб] Свободно: [29.7 Гб]
Браузер по умолчанию: C:\Program Files\Opera x64\Opera.exe
-------------Windows------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено (-1)

Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security v.14.0.0.4651
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 13 Plugin v.13.0.0.214
Adobe Reader XI (11.0.07) - Russian v.11.0.07 [+]
-------------Browser------------------------------
Opera 12.17 v.12.17.1863
Google Chrome v.35.0.1916.114 [+]
-------------RunningProcess-----------------------
C:\Program Files\Opera x64\opera.exe v.12.17.1863.0
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.35.0.1916.114
-------------EndLog-------------------------------Единственное, теперь изрядно тупит ВКонтакте. Не пзволяет загружать фотографии и для новых сообщений приходится перезагружать страницу. В обоих браузерах теперь такое.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,975
Реакции
6,120
Баллы
1,008
Автоматическое обновление отключено (-1)
обязательно включите и установите все обновления безопасности. Похоже вы их вообще ни разу не ставили :Punish:
+
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Включите UAC и обновите IE.

Единственное, теперь изрядно тупит ВКонтакте. Не пзволяет загружать фотографии
известный баг Opera 12.16, 12.17 под x64. Рекомендую скачать Opera 12.14
32-bit / 64-bit и проверить работу в ней. (после этой версии комманду разработчиков разогнали, так что она самая стабильная из последних).
 

minka80

Активный пользователь
Сообщения
7
Реакции
0
Баллы
231
обязательно включите и установите все обновления безопасности. Похоже вы их вообще ни разу не ставили

Включите UAC и обновите IE.
Сделала.


Рекомендую скачать Opera 12.14
Теперь нормально работает.

Ещё раз большое спасибо за помощь)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу