Вирус webalta и папка iterra [Trojan.Win32.Cidox.abed ]

[vgazprome]

Добрый день!
Очевидно, после скачивания какого-то файла из Интернета, подхватил гадость.
Не работает ни Opera, ни Chrome. Приходится работать за другим компьютером.
Всё сделал по вашей инструкции и получил нужные файлы, которые прикрепляю.
Надеюсь на Вашу помощь и инструкцию, что мне делать дальше и как лечить компьютер. Файл из недавно возникшей папки iterra не удаляется, так и находится в ней.
Заранее спасибо.

[Info_bot]

Уважаемый(ая) vgazprome, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
  QuarantineFile('C:\Users\Alexandr\Documents\Iterra\swdgivk.dll','');
  DeleteFile('C:\Users\Alexandr\Documents\Iterra\swdgivk.dll');
  DeleteFileMask('C:\Users\Alexandr\Documents\Iterra','*',true);
  DeleteDirectory('C:\Users\Alexandr\Documents\Iterra');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log

[regist]

+ Профиксите в HijackThis

Код:

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

- Сделайте лог полного сканирования МВАМ.

[vgazprome]

Всё. ПОНЯЛ)

- - - Добавлено - - -

Добавляю ещё файлы.


Карантин прислал

- - - Добавлено - - -

Папка Iterra пропала, но webalta поисковик как был, так и остался. При запуске Opera, Avast все равно ругается и ссылается на Opera.
Что я не так сделал?

[regist]

- Сделайте лог полного сканирования МВАМ.

ждём.

+ Funmoods Toolbar если не устанавливали сами деинсталируйте.

- - - Добавлено - - -

+ Установите Service Pack 1 для Windows 7 (может потребоваться активация)
Установите Internet Explorer 9 (даже если им не пользуетесь)

[PavelA]

Ярлык для запуска Оперы удалите, а потом заново создайте.

[vgazprome]

"- Сделайте лог полного сканирования МВАМ."

Пожалуйста !

[regist]

vgazprome, запустите файл

Код:

C:\Users\Alexandr\AppData\Local\Webalta Toolbar\uninstall.ex

потом

Удалите в MBAM всё кроме

Код:

C:\Program Files (x86)\AnvSoft\Any Video Converter Ultimate\any.video.converter.ultimate.4.x.x-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\Games\Test Drive Unlimited 2\paul.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
E:\Programs\Any Video Converter Ultimate 4.5.6\Install\any.video.converter.ultimate.4.x.x-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.

[vgazprome]

Удалил все, кроме того, что просили оставить выше. Лог сохранил. Прикрепляю его.
Что интересно, теперь avast не кричит, когда запускаю Opera, тем не менее, этот поисковик как был, так и остался.... Я нажимал ещё правой кнопкой мыши на Opera - свойства и там удалял webalta и удалял в chrome, всё равно он остался. Теперь, когда открываешь chrome, avast кричит и ссылается на chrome.

Очень хочется уже разобраться с этим. Огромное спасибо за внимание.

[regist]

1) Просканируйте заново и прикрепите новый лог.
2) Я правильно понял, кто когда удаляете лишние приписки яз ярлыков они снова появляются ? Попробуйте удалить ещё раз.
3)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

[vgazprome]

Да, сделав новый ярлык Opera там всё равно написано правильно C:\Program Files (x86)\Opera\opera.exe, равно как и в Chrome. Тоже все написано правильно.
Просканировал, прикрепляю новый лог от AdwCleaner (by Xplode)

- 1) Просканируйте заново и прикрепите новый лог.
- Через какую программу просканировать?

[PavelA]

Нам нужен новый лог МБАМ.

[regist]

+ к логу MBAM

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

[vgazprome]

Прежде всего прикрепляю лог МВАМ
Далее прикрепляю отчет после проверки в AdwCleaner

[regist]

если проблема осталась

Сделайте полный образ автозапуска uVS

[vgazprome]

Я не могу его загрузить, потому что размер архива с "полный образ автозапуска uVS" более 1 мб.

- - - Добавлено - - -

http://yadi.sk/d/yp0wSKYa2bpdo

Вот ссылка на скачивание. Залил на yandex

[regist]

Выполните скрипт в uVS

Код:

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
delref HTTP://HOME.WEBALTA.RU/?NEW
zoo %SystemDrive%\USERS\ALEXANDR\APPDATA\ROAMING\FUNMOODS\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\USERS\ALEXANDR\APPDATA\ROAMING\FUNMOODS\UPDATE~1\UPDATE~1.EXE
restart

что с проблемой ?

[vgazprome]

regist, архив сделал ZIP, правда не смог сделать пароль virus. Отправил куда и просили. Критично что без пароля?

[regist]

Критично что без пароля?

нет.

что с проблемой ?