WebAlta припухла (продолжение)

Рано Вы прикрыли мою тему она снова появилась!

Логи по правилам.

[QUOTE=mrak74;962581]Логи по правилам.[/QUOTE]
Логи в основной теме уже имеются

[QUOTE=PatronDragon;962589]Логи в основной теме уже имеются[/QUOTE]

Та тема уже закрыта. Новые ([B]актуальные логи[/B]) приложите в [B]новую[/B] тему.

Выкладываю

выполните скрипт:
[Code]
begin

QuarantineFile('C:\Users\Сергей Викторович\Documents\Iterra\yepjgce.dll','');
DeleteFile('C:\Users\Сергей Викторович\Documents\Iterra\yepjgce.dll');
DeleteFileMask('C:\Users\Сергей Викторович\Documents\Iterra', '*',true);
DeleteDirectory('C:\Users\Сергей Викторович\Documents\Iterra');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/COde]
Профиксите:[Code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/COde]

После перезагрузки логи заново сделайте.

Не похожи эти логи на предыдущую систему. ;)

При выполнении скрипта выдало следущее:

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=PavelA;962701]выполните скрипт:
[Code]
begin

QuarantineFile('C:\Users\Сергей Викторович\Documents\Iterra\yepjgce.dll','');
DeleteFile('C:\Users\Сергей Викторович\Documents\Iterra\yepjgce.dll');
DeleteFileMask('C:\Users\Сергей Викторович\Documents\Iterra','*',' ');
DeleteDirectory('C:\Users\Сергей Викторович\Documents\Iterra');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/COde]
Профиксите:[Code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/COde]

После перезагрузки логи заново сделайте.

Не похожи эти логи на предыдущую систему. ;)[/QUOTE]

Профиксите! Это как?

А логи не похожи потому что я чистил уже систему!

1. Скрипт я подкорректировал, выполните снова.

2. Что значит "пофиксить с помощью HiJackThis":
[url]http://virusinfo.info/showthread.php?t=4491[/url]

Увы вебальта не исчезла!

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + скриншот свойств ярлыка браузера в котором появляется WebAlta

+ Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

+ [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Search"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[R1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Выкладываю

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Выкладываю

Здравствуйте!

Закройте все программы

подключите диск I:\

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('Викторович\Documents\Iterra\yepjgce.dll','');
QuarantineFile('I:\DOWNLOADS\ПРОГРАММЫ\УСТАНАВЛИВАЕМЫЕ ПРОГРАММЫ\Заработок\Автосерфинг\guiminer-20120219\guiminer\numpy.core.umath.pyd','');
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Temp\SIT21627.tmp\ExpressRes.dll','');
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Temp\SIT21627.tmp\CustomText.1049.dll','');
QuarantineFile('c:\users\Сергей Викторович\appdata\local\temp\sit21627.tmp\setup.exe','');
QuarantineFile('C:\Users\3D51~1\AppData\Local\Temp\sfareca00002.dll','');
QuarantineFile('C:\Users\3D51~1\AppData\Local\Temp\sfareca00001.dll','');
QuarantineFileF('Викторович\Documents\Iterra','*', true,'',0 ,0);
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\WebAltaSearch.dll', 'MBAM: PUP.WebAlta');
QuarantineFile('C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll', 'MBAM: PUP.WebAlta');
QuarantineFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\gacutil.exe', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\uninstall.exe', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\BandObjectLib.dll', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\gacutil.exe', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll', 'MBAM: PUP.ToolBar.WA');
QuarantineFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\uninstall.exe', 'MBAM: PUP.ToolBar.WA');
DeleteFile('Викторович\Documents\Iterra\yepjgce.dll');
DeleteFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\WebAltaSearch.dll');
DeleteFile('C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll');
DeleteFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll');
DeleteFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\gacutil.exe');
DeleteFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll');
DeleteFile('C:\Users\Сергей Викторович\Local Settings\Application Data\Webalta Toolbar\uninstall.exe');
DeleteFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\BandObjectLib.dll');
DeleteFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\gacutil.exe');
DeleteFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll');
DeleteFile('C:\Users\Сергей Викторович\AppData\Local\Webalta Toolbar\uninstall.exe');
DeleteFileMask('Викторович\Documents\Iterra', '*.*', true);
DeleteDirectory('Викторович\Documents\Iterra');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

-новый лог MBAM

+ а также лог AdwCleaner (by Xplode)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

также обязательно

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=125-page-uploadclean][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.

А сканирование Malwarebytes Anti-Malware показало что всё чисто

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
При загрузке файла пишет 413 Request Entity Too Large

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.Пишет 413 Request Entity Too Large

Если указанными в логе тулбарами вы не пользуетесь то (чтобы почистить систему от этого мусора)
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]


[quote="PatronDragon;963176"]- Проведите процедуру, которая описана тут. Результат загрузки напишите в сообщении здесь.
При загрузке файла пишет 413 Request Entity Too Large[/quote]
закачайте его на любой файлообменник, не требующий ввода капчи (например: [url=http://rghost.ru/]RGhost[/url], [url=http://zalil.ru/]Zalil[/url], [url=http://dump.ru/]Dump.Ru[/url] или [url=http://webfile.ru/]WebFile[/url]) и пришлите ссылку на скачивание мне в ЛС.

что с проблемой ?

[QUOTE=regist;963222]Если указанными в логе тулбарами вы не пользуетесь то (чтобы почистить систему от этого мусора)
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Delete"[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST][B]Внимание: [COLOR="Red"]Для успешного удаления может потребоваться [U]перезагрузка компьютера[/U]!!![/COLOR][/B]



закачайте его на любой файлообменник, не требующий ввода капчи (например: [url=http://rghost.ru/]RGhost[/url], [url=http://zalil.ru/]Zalil[/url], [url=http://dump.ru/]Dump.Ru[/url] или [url=http://webfile.ru/]WebFile[/url]) и пришлите ссылку на скачивание мне в ЛС.

что с проблемой ?[/QUOTE]

Не могу провести, так как AdwCleaner висит в процессах но на экране не видим! Вебальта не исчезла!

[quote="regist;963222"]закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, Dump.Ru или WebFile) и пришлите ссылку на скачивание мне в ЛС.[/quote]
жду.

+ [url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

не надо каждый раз цитировать весь предыдущий пост ;)

[b]regist[/b], [url]http://webfile.ru/6337338[/url]

Закачали вместо лога чего-то большое и не то.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]