Webalta, блокировка. [Trojan.Win32.Cidox.aggj, Trojan.Win32.Cidox.aggk ]

[Feriks]

Словил заразу Webalta. Прописалась в браузерах на домашнюю страницу, якобы поисковик.
1) Работа в Opera в Google невозможна, всплывает активное диалоговое окно, которое блокирует страницу и, похоже требует активацию с помощью смс(там проблема у них с шрифтом, все в квадратах), но тем не менее.

2) Иногда появляется само по себе в опере диалоговое окно с текстом:
"Уважаемый пользователь, в связи с участившимися жалобами на качество предоставления услуг пользования сетью Интернет мы просим вас оценить вашу удовлетворенность от используемых услуг.
Выберите один из 3 вариантов согласно следующим критериям:
- скорость загрузки страниц и файлов;
- разрывы соединения с сетью;
- стоимость предоставляемых услуг."

3) Аваст сегодня на explorer ругался. Вирус Dyna:Injector-CT [Trj]
4) Делал очистку всех записей в реестре где встречалось "webalta" + очистка файлов с таким названием.

[Info_bot]

Уважаемый(ая) Feriks, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\users\feriks\documents\application data\explorer.exe');
 QuarantineFile('C:\Users\Feriks\Documents\Application Data\explorer.exe','');
 QuarantineFile('C:\Users\Feriks\Documents\explorer.dll','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 DeleteFile('C:\Users\Feriks\Documents\explorer.dll');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
 DeleteFile('C:\Users\Feriks\Documents\Application Data\explorer.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.

По ярлыку браузера, которым его запускаете, правой кнопкой мыши - Свойства - закладка Ярлык - поле Объект.
Там проветьте, чтобы кроме пути к исполняемому файлу браузера в кавычках не было ничего лишнего.
Если есть, отредактируйте и нажмите ОК.
Повторите это со всеми вашими браузерами, во всех местах, где есть их ярлыки (меню "Пуск", рабочий стол, панель быстрого запуска и т.п.)

[Feriks]

Экзешник explorer'a удалил до вашего поста, поэтому в карантине вы его можете не увидеть.
Проблемы в опере устранились.
Лог прилагается.

[Nikkollo]

Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

Больше подозрительного не обнаружил.
Проблема решена?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\feriks\\documents\\application data\\explorer.exe - Trojan.Win32.Cidox.aggk ( BitDefender: Gen:Variant.Zusy.51284, AVAST4: Win32:Crypt-PLG [Trj] )
  2. c:\\users\\feriks\\documents\\explorer.dll - Trojan.Win32.Cidox.aggj ( BitDefender: Gen:Variant.Vundo.4, AVAST4: Win32:Kryptik-MBU [Trj] )