Установилась левая домашняя страница во всех браузерах (IE 10, Opera, Chrome), с неизвестным поисковиком (hттp://home.webalta.ru/), не смотря на то, что в настройках IE 10 прописана домашняя страница google.ru. Помогите плз. от нее избавиться.
Установилась левая домашняя страница во всех браузерах (IE 10, Opera, Chrome), с неизвестным поисковиком (hттp://home.webalta.ru/), не смотря на то, что в настройках IE 10 прописана домашняя страница google.ru. Помогите плз. от нее избавиться.
Последний раз редактировалось mrak74; 17.05.2013 в 13:34.
Уважаемый(ая) bll, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
Пофиксите в HijackThis:
По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.Код:O20 - Winlogon Notify: ScCertProp - Invalid registry found
Там проветьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
Если есть, отредактируйте и нажмите ОК.
Повторите это со всеми вашими браузерами, во всех местах, где есть их ярлыки (рабочий стол, панель быстрого запуска и т.п.)
Профиксил, поменял ссылки на пути в ярлыках, перезагрузился, итог: IE 10 - Ok, Chrome - Ok, Opera - без результата, хотя в Opera в ярлыке в пути все чисто и без лишнего мусора ("C:\Program Files (x86)\Opera\opera.exe") все равно запускается сайт с поисковиком
Сделайте полный образ автозапуска uVS
- - - Добавлено - - -
+ Сделайте логи RSIT
логи
Выполните скрипт в uVS Как выполнить скрипт в uVS
Отпишитесь, что с проблемой?Код:;uVS v3.77.1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://HOME.WEBALTA.RU/?NEW deltmp restart
Все выполнил, с Opera все OK, Chrome - ok, IE10 сразу после перезагрузки с того же ярлыка не запускается, запустился только через 5-7 минут после загрузки windows
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
А когда всё таки запустился, сколько процессов от него было в диспетчере задач ?
В диспетчере было столько задач, сколько тыкал на ярлык (3), остальное делаю...
- - - Добавлено - - -
все сделал но все равно какие то баги с автозагрузкой, IE по прежнему загружается только через 7 минут после загрузки windows и еще появилась проблема с открытием папок через проводник, вылетает ошибка "Сбой при удаленном вызове процедуры. Вызов не произведен". Скрипт выполнил но после перезагрузки еще раз выполнить не смог по вышеуказанной причине. После истечении 10 минут, проводник заработал, ошибка больше не вылетает, Скипт выполнил, уязвимостей не показал.
- - - Добавлено - - -
Попробовал перезагрузиться еще раз, все повторилось, IE не загружается и ошибка "Сбой при удаленном вызове процедуры. Вызов не произведен" повторилась, все начинает работать через 7-10 минут после перезагрузки
Последний раз редактировалось bll; 17.05.2013 в 17:11.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log ) + Сделайте лог полного сканирования MBAM
Логи, в MBAM пока ничего не удалял
Последний раз редактировалось bll; 21.05.2013 в 12:37.
Инструкции и утилиты для полного удаления остатков антивирусных продуктов для удаления остатков Symantec Endpoint Protection.
Попробуйте переустановить IE, удалите перезагрузите компьютер, скачайте снова Internet Explorer v10.0 и установите, проверьте работу IE.
Лог МВАМ, C:\Users\Алексей Никаноров\AppData\Roaming\archsoft (Trojan.Agent) - удалил папку, к папке Local Settings нет доступа, из C:\Users\Алексей Никаноров\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) сделал деинсталл и удалил папку. Остальные пока не удалял
Раз уж частично удалили, то удалите только указанные строки:
Сделайте повторный лог MBAM.Код:Обнаруженные ключи в реестре: 3 HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> Действие не было предпринято. Обнаруженные папки: 3 C:\Users\Алексей Никаноров\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Алексей Никаноров\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 71 C:\Users\Алексей Никаноров\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Алексей Никаноров\Local Settings\Application Data\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Алексей Никаноров\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Алексей Никаноров\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.
Проблемы после удаления в МВАМ остались: IE сразу не грузится, программы с ярлыков не запускаются в течении 7-10 мин., (папки в проводнике правда стали открываться сразу). Windows не видит KAV и ругается что защитник Windows выключен (скрин прилагаю), при попытке его включить выкидывает в папку sistem 32 и все. Новое сканирование МВАМ - выполняется. Может вернуться на IE9, при нем таких бед не было...
Последний раз редактировалось bll; 21.05.2013 в 14:29.
Тормоза с IE начались сразу после лечения ? До этого они наблюдались, какие нибудь еще действия Вы производили ?
К примеру Advanced SystemCare -ом систему чистили в этот период ...
Сделайте логи RSIT
Тормоза с IE начались когда пофиксил в HijackThis (пост выше) и поменял пути ярлыков на запуск браузеров. Лог прилагаю, систему не чистил... но может МВАМ что то лишнее удалил, посмотрите лог после удаления, новый еще не готов (проверяется)
http://virusinfo.info/showthread.php?t=4491
Лог info.txt от RSIT добавьте.*) У HijackThis есть возможность отмены сделанных с помощью него изменений в системе. Запустите HijackThis, нажмите кнопку View the list of backups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.
- - - Добавлено - - -
В логе MBAM порядок.
Можно попробовать переустановить.
Так я же фиксил по вашей рекомендации, думаю там все нормально
А как получить лог info.txt? от RSIT, нашел...прилагаю. В новом логе МВАМ, после повторной проверки вроде все чисто. KAV переустановил, вроде как тоже все стало нормально, сейчас обновится попробую еще раз перезагрузиться и отпишусь.
...Удалил обновление до IE10 и откатился опять на IE9 и все как будто стало нормально, все грузится, может еще какой лог нужно на всякий случай или в AVZ прогнать, но пока вроде не заметно никакой подозрительной активности, спасибо за помощь
Последний раз редактировалось bll; 21.05.2013 в 16:20.
Уважаемый(ая) bll, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.