Сайт http://webvolta.ru/ домашняя страница

[Zeigmur]

Поймал вирус, делающий сайт webvolta.ru/[/url] домашней страницей в браузере Opera. Так же из-за него не возможно выбрать в настройках браузера "продолжить с места разъединения". Через поиск в реестре regedit нашёл 2 записи, где было слово "webvolta" и удалил их, но проблему это не решило и сайт по прежнему остаётся домашней страницей.
Вот логи проверки утилитами:

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\lJNsXWu.exe','');
 QuarantineFile('C:\DOCUME~1\Zeigmur\LOCALS~1\Temp\8243089.exe','');
 DeleteService('DLSProvider');
 DeleteFile('C:\DOCUME~1\Zeigmur\LOCALS~1\Temp\8243089.exe');
 DeleteFile('\\?\globalroot\systemroot\system32\lJNsXWu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Zeigmur]

Архив с карантином отправил. Новые логи здесь:

[thyrex]

Удалите в МВАМ

Код:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.

Заражённые файлы:
c:\documents and settings\Zeigmur\application data\rhizq2ouuirncixw1gmugvpnin2adl12\csrss.exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\Zeigmur\local settings\temporary internet files\Content.IE5\QYWWLNC2\a8440[1].exe (Spyware.Passwords.XGen) -> No action taken.
d:\system volume information\_restore{97ecd07c-3e60-497b-a197-1a1277d3dc30}\RP296\A0069903.exe (Virus.Virut) -> No action taken.
d:\system volume information\_restore{97ecd07c-3e60-497b-a197-1a1277d3dc30}\RP296\A0069992.exe (Trojan.Dropper.PGen) -> No action taken.
e:\system volume information\_restore{c9d76de0-a7db-4c84-bdac-5858498e9bf4}\RP119\A0033025.exe (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP53\A0022175.exe (Trojan.Dropper.PGen) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023094.exe (Trojan.Dropper.PGen) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023096.exe (Trojan.Agent) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023168.exe (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023184.exe (Trojan.Dropper.PGen) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023190.exe (RiskWare.Tool.CK) -> No action taken.

[Zeigmur]

Лог после удаления файлов:

[polword]

В логах подозрительного нет.

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.4 или удалите старый.

[Zeigmur]

Переустановил полностью Оперу, удалил все файлы, связанные с ней, удалил запись реестра. Затем заново переустановил её (последняя 11-я версия) и всё тоже самое - сайт http://webvolta.ru/ - домашняя страница, а "продолжить с места разъединения" по прежнему нельзя. Пробовал ставить предыдущие версии Оперы, всё тоже самое. В Internet-Explorer всё нормально, такая проблема только в Опере.

[thyrex]

Файлы в профиле пользователя тоже удаляли?

[Zeigmur]

Я удалил Оперу через пограмму Your Uninstaller! (последняя версия), затем удалил папку с Оперой, куда я её ставил, а так же удалил 2 папки:

C:\Documents and Settings\[мой профиль]\Application Data\Opera

и

C:\Documents and Settings\[мой профиль]\Local Settings\Application Data\Opera

Из реестра удалил запись Opera Software (других записей с Оперой я там не нашёл).

Заодно удалил все файлы из папки:

C:\Documents and Settings\[мой профиль]\Local Settings\Temporary Internet Files

После этого я ещё раз просканировал компьютор Вашими тремя утилитами, которые прикрепил к этому сообщению.

P. s. В данный момент пишу Вам через Internet Explorer, а Опера полностью удалена с моего компьютора (по крайней мере я так думаю).
Когда сканировал компьютор, полностью выгрузил и антивирус (ESET NOD 32) и файерволл Outpost Firewall Pro.

[regist]

Из реестра удалил запись Opera Software (других записей с Оперой я там не нашёл).

Opera не хранит своих натроек в реестре , всё в папках профиля.

попробуйте портативную версию http://www.opera-usb.com/

[Zeigmur]

А по моим последним присланным файлам сканирования компьютора утилитами, никаких вирусов не видно???

[Zeigmur]

Я переустановил Windows и всё стало нормально. Но решения настоящей проблемы без переустановки системы, я так и не нашёл. Всем, кто пытался мне помочь, большое спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены