захожу в браузер открывается сайт http://www.smaxxi.biz/ не могу удалить

вот логи

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe','');
DeleteFile('C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','32459');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
O4 - HKLM\..\Policies\Explorer\Run: [32459] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

P.S.Garrick, за дублирование тем можете быть наказаны лишением доступа к форуму

Malwarebytes Anti-Malware (Пробная версия) 1.60.1.1000
www.malwarebytes.org

Версия базы данных: v2012.03.22.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Admin :: GARRICK [администратор]

Защитный модуль : Включен

23.03.2012 1:02:58
mbam-log-2012-03-23 (03-34-53).txt

Тип сканирования: Полное сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 251422
Времени прошло: 2 часов , 31 минут , 14 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rootkit.Dropper) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VertZip (PUP.SmsPay) -> Параметры: "C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe" autstr_148 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|32459 (Trojan.Agent) -> Параметры: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe -> Действие не было предпринято.

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Program Files\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.

Обнаруженные файлы: 31
C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\worlduarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Temp\scoped_dir_26342\CRX_INSTALL\plugins\rlcm.dll (Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\MediaGet2.exe (PUP.BundleInstaller.MG) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000024000002i\AdobeUpdater.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\10000001b00002i\msiexec.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\1000000600002i\svchost.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\1000000b00002i\rundll32.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000001c0200002i\ColorCommon190.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000001e1300002i\ExtendScriptToolkit2.0.2_new.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000024900002i\AdobeUpdater.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000029c00002i\Setup.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000002a600002i\Setup.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\400000413400002i\DC.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000005700003i\mDNSResponder.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\4000005c000002i\VC_client_310_1.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\40000090600002i\assetservices_310.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\400000a500003i\FNPLicensingService.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\400000f00003i\Patch.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Grizli777\Adobe Photoshop CS4 beta 01 rus\f000000a700003i\ntvdm.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Program Files\Alwil Software\Avast4\DATA\moved\UnAl.exe.vir (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Rovio\Angry Birds Rio\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
C:\Program Files\WinRAR\patch.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\Oreans.sys (Backdoor.Trojan) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\asmcf.dat (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.MarketScore) -> Действие не было предпринято.

(конец)

Повторите сканирование в MBAM и удалите только следующее:

Обнаруженные ключи в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rootkit.Dropper) -> Действие не было предпринято.
HKLM\System\CurrentControlSet\Services\XPROTECTOR (Backdoor.Trojan) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VertZip (PUP.SmsPay) -> Параметры: "C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe" autstr_148 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|32459 (Trojan.Agent) -> Параметры: C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\762fb7fe00c4e824.exe -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Program Files\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge (Spyware.MarketScore) -> Действие не было предпринято.

Обнаруженные файлы: 31
C:\Documents and Settings\Admin\Application Data\worlduarchive\worlduarchive.exe (PUP.SmsPay) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\worlduarchive\viewmerik.exe (Trojan.FakeSMS) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Temp\scoped_dir_26342\CRX_INSTALL\plugins\rlcm.dll (Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\Oreans.sys (Backdoor.Trojan) -> Действие не было предпринято.
C:\Program Files\RelevantKnowledge\asmcf.dat (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\About RelevantKnowledge.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Privacy Policy and User License Agreement.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Support.lnk (Spyware.MarketScore) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Главное меню\Программы\RelevantKnowledge\Uninstall Instructions.lnk (Spyware.MarketScore) -> Действие не было предпринято.

Garrick,

+ к вышесказанному


После удаления в Malwarebytes' Anti-Malware указанных строк, откройте лог и прикрепите его к вашему сообщению.


+ удалите папку C:\Documents and Settings\Admin\Application Data\worlduarchive

+ повторите логи Random's System Information Tool (RSIT)

+ Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.

вот логи

Пофиксите в HiJack
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.bizСделайте новые логи RSIT

вот логи !

Теперь чисто.


- деинсталлируйте Malwarebytes' Anti-Malware

- обновите Java до актуальной версии (http://java.com/ru/download/windows_manual.jsp?locale=ru&host=java.com)



Рекомендации после лечения (http://safezone.cc/forum/showthread.php?t=16715)

спасибо все чисто