Помогите!

Printable View

05.12.2012, 12:11
максим мирошноков

Вложений: 3

Помогите!

при заррузке WIN7 на рабочем столе в течении долей сек на черном окошке происходит какое то действие(из за скорости времени понять не возможно),потом защитник яндекса пишет что файлы host изменены.инетстал работать очень медленно,комп стал тупить.появилась при октрытии оперы какая то поисковая система weltbata-причем удалить ее не получается
Высылаю Вам логи по требованию
05.12.2012, 12:13
Info_bot

Уважаемый(ая) [B]максим мирошноков[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
05.12.2012, 15:30
максим мирошноков

Очень срочно !!

Прошу прошения на надоедливость,но ваша помощь требует как можно быстрой оперативности
05.12.2012, 15:39
thyrex

Выполните скрипт в AVZ
[code] begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\User\AppData\Local\Temp\2880218FdOh');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2880296');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Очистите куки и кэш браузеров

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/CODE]
Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
05.12.2012, 18:12
максим мирошноков

Вложений: 4

AVZ и HiJack тоже логи присылать?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Вот запрашиваемые Файлы.
При сканировании системы утилитой Malwarebytes Anti-Malware выдавалось сообщение что блокирована попытка доступа к вредоносному адресу ip*********(разные были) с порта ****(utorrent)
05.12.2012, 19:43
thyrex

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные строки[/b] [code]Обнаруженные ключи в реестре: 5
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.

Объекты реестра обнаружены: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные папки: 4
C:\Users\User\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы: 20
C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\5f22212e-6c554259 (Trojan.Ransom) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.[/code]

Удалите вручную
[CODE]C:\Windows\tasks\At1.job
C:\ProgramData\c7tyVIH5HP8[/CODE]Смените все пароли

Что с проблемой?
07.12.2012, 14:17
максим мирошноков

Прощу прощения зап отсутствие!совершаю выше указанные Вами действия!результат выложу

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Система летает как прежде!но при окрытии опера все равно открывается отдельная закладка с сылкой на сайт Welbata.ru
07.12.2012, 23:30
thyrex

Проверьте, не прописалась ли webalta в качестве стартовой страницы в Опера
08.12.2012, 11:02
максим мирошноков

нет! в самом начале до обращения к вам удалил просиску в опере это страницы как домашней.потом перекопал всю оперу,больше упоминаний об этой странице в компе нигде нет.а она все равно появляется при загрузке оперы в качестве дополнительной уже открытой вкладке
08.12.2012, 11:32
thyrex

Проверьте ярлык запуска браузера на предмет посторонних "хвостов" после имени исполняемого файла
08.12.2012, 17:28
максим мирошноков

Помогло!была прописана там эта страница.
Снимаю перед Вами шляпу!:))спасибо за помощь