-
Junior Member
- Вес репутации
- 52
Сайт http://webvolta.ru/ домашняя страница
Поймал вирус, делающий сайт webvolta.ru/[/url] домашней страницей в браузере Opera. Так же из-за него не возможно выбрать в настройках браузера "продолжить с места разъединения". Через поиск в реестре regedit нашёл 2 записи, где было слово "webvolta" и удалил их, но проблему это не решило и сайт по прежнему остаётся домашней страницей.
Вот логи проверки утилитами:
Последний раз редактировалось Никита Соловьев; 09.01.2011 в 00:49.
Чужой беды не бывает!!!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\\?\globalroot\systemroot\system32\lJNsXWu.exe','');
QuarantineFile('C:\DOCUME~1\Zeigmur\LOCALS~1\Temp\8243089.exe','');
DeleteService('DLSProvider');
DeleteFile('C:\DOCUME~1\Zeigmur\LOCALS~1\Temp\8243089.exe');
DeleteFile('\\?\globalroot\systemroot\system32\lJNsXWu.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Архив с карантином отправил. Новые логи здесь:
-
Удалите в МВАМ
Код:
Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражённые параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) -> Value: bk -> No action taken.
Заражённые файлы:
c:\documents and settings\Zeigmur\application data\rhizq2ouuirncixw1gmugvpnin2adl12\csrss.exe (Spyware.Passwords) -> No action taken.
c:\documents and settings\Zeigmur\local settings\temporary internet files\Content.IE5\QYWWLNC2\a8440[1].exe (Spyware.Passwords.XGen) -> No action taken.
d:\system volume information\_restore{97ecd07c-3e60-497b-a197-1a1277d3dc30}\RP296\A0069903.exe (Virus.Virut) -> No action taken.
d:\system volume information\_restore{97ecd07c-3e60-497b-a197-1a1277d3dc30}\RP296\A0069992.exe (Trojan.Dropper.PGen) -> No action taken.
e:\system volume information\_restore{c9d76de0-a7db-4c84-bdac-5858498e9bf4}\RP119\A0033025.exe (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP53\A0022175.exe (Trojan.Dropper.PGen) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023094.exe (Trojan.Dropper.PGen) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023096.exe (Trojan.Agent) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023168.exe (Trojan.Downloader) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023184.exe (Trojan.Dropper.PGen) -> No action taken.
f:\system volume information\_restore{fde15525-ca14-4ab9-b810-672d441c5f06}\RP56\A0023190.exe (RiskWare.Tool.CK) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Лог после удаления файлов:
-
В логах подозрительного нет.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.4 или удалите старый.
-
-
Junior Member
- Вес репутации
- 52
Переустановил полностью Оперу, удалил все файлы, связанные с ней, удалил запись реестра. Затем заново переустановил её (последняя 11-я версия) и всё тоже самое - сайт http://webvolta.ru/ - домашняя страница, а "продолжить с места разъединения" по прежнему нельзя. Пробовал ставить предыдущие версии Оперы, всё тоже самое. В Internet-Explorer всё нормально, такая проблема только в Опере.
-
Файлы в профиле пользователя тоже удаляли?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Я удалил Оперу через пограмму Your Uninstaller! (последняя версия), затем удалил папку с Оперой, куда я её ставил, а так же удалил 2 папки:
C:\Documents and Settings\[мой профиль]\Application Data\Opera
и
C:\Documents and Settings\[мой профиль]\Local Settings\Application Data\Opera
Из реестра удалил запись Opera Software (других записей с Оперой я там не нашёл).
Заодно удалил все файлы из папки:
C:\Documents and Settings\[мой профиль]\Local Settings\Temporary Internet Files
После этого я ещё раз просканировал компьютор Вашими тремя утилитами, которые прикрепил к этому сообщению.
P. s. В данный момент пишу Вам через Internet Explorer, а Опера полностью удалена с моего компьютора (по крайней мере я так думаю).
Когда сканировал компьютор, полностью выгрузил и антивирус (ESET NOD 32) и файерволл Outpost Firewall Pro.
-
Сообщение от
Zeigmur
Из реестра удалил запись Opera Software (других записей с Оперой я там не нашёл).
Opera не хранит своих натроек в реестре , всё в папках профиля.
попробуйте портативную версию http://www.opera-usb.com/
-
-
Junior Member
- Вес репутации
- 52
А по моим последним присланным файлам сканирования компьютора утилитами, никаких вирусов не видно???
-
Junior Member
- Вес репутации
- 52
Я переустановил Windows и всё стало нормально. Но решения настоящей проблемы без переустановки системы, я так и не нашёл. Всем, кто пытался мне помочь, большое спасибо.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-