Проверяет при включении компьютера анти-вирус ESET smart security пишет обнаружен вирус:
Модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна.
Подскажите что делать
Проверяет при включении компьютера анти-вирус ESET smart security пишет обнаружен вирус:
Модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна.
Подскажите что делать
Последний раз редактировалось Cepera; 15.12.2012 в 19:43.
Уважаемый(ая) Cepera, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Тулбар MediaBar сами установили?
- Пофиксите в HijackThis:
- Выполните в АВЗ:Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B4BB74-55DC-4737-8205-63E5E0966160}: NameServer = 5.199.140.180
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\documents and settings\administrator\application data\ydz5sgh.exe'); QuarantineFile('c:\documents and settings\administrator\application data\ydz5sgh.exe',''); DeleteFile('c:\documents and settings\administrator\application data\ydz5sgh.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7kzt457adc'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Повторите логи.
Нет, тулбар не устанавливал.
hijackthis2.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Последний раз редактировалось thyrex; 17.12.2012 в 13:42.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сегодня анти-вирус написал что вирус удалён
Обьект:
C:\Document and Settings\Administraror\Local
Settings\Temp\qxqcya9s.exe
Угроза:
Win32/SpyVoltar.A троянская программа
Информация:
очищен удалением - изолирован.
Но на всякий случай вот лог полного сканирования МВАМ
mbam-log-2012-12-17 (22-10-25).txt
Последний раз редактировалось Cepera; 18.12.2012 в 00:24.
Удалите в МВАМ только указанные строкиКод:Обнаруженные ключи в реестре: 4 HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные папки: 4 C:\Documents and Settings\Administrator\Главное меню\Программы\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято. C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 18 C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Temp\qxqcya9s.exe (Trojan.Agent) -> Действие не было предпринято. C:\System Volume Information\_restore{EB64011F-253D-4BFD-8EC9-3A66327E41D3}\RP89\A0221078.exe (Trojan.Winlock) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Главное меню\Программы\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Documents and Settings\Administrator\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вроде все удалил, нужно заного сканировать ?
Win32/SpyVoltar.A удалён.
Тулбар остался, но только если в оперу входить с панели быстрого запуска.
В установке/удаление программ тулбар ненашел.
Ну в общем проблемма устранена, через панель быстрого запуска оперу редко запускаю, тем более его можно сразу закрыть. Спасибо вашему форуму за помощь.
Удалим...
- Пофиксите в HijackThis:
- Выполните в АВЗ:Код:O2 - BHO: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\imeshdtxmltbpi.dll O3 - Toolbar: MediaBar - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\imeshdtxmltbpi.dll O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Компьютер перезагрузитсяКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\imeshdtxmltbpi.dll',''); DeleteFileMask('C:\PROGRA~1\IMESHA~1','*',true); DeleteDirectory('C:\PROGRA~1\IMESHA~1'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Почему-то у меня не загружается через "прислать запрошенный карантин" пишет "спасибо..." а на страницу не скидует.
quarantine.zip
Про тулбар не знаю, но теперь и при заходе через ссылка Вебалта открывается... Ну мне не сложно закрыть, просто может что-то не так.
Нет, только в опере и гуглхром, в хромиуме и мозилла не высвечивается...
И в опере высвечивается и стартовая страница, и создаётся дополнительная вкладка с webalta.
hijackthis3.log
Последний раз редактировалось Cepera; 21.12.2012 в 10:42.
Проверьте ярлык запуска Опера на предмет "хвоста" после имени исполняемого файла
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Можете подсказать, как это сделать ?
Правой кнопкой по ярлыку-свойства-вкладка ярлык
Уважаемый(ая) Cepera, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.