После обновлений Java странное поведение компьютера

[Марат Вахитов]

После автообновления Java (по моему начало проблем совпало именно с ним) или, возможно, после какого то другого события, началось странное поведение системы. Подключение по локально сети то присутствует, то нет (постоянные сообщения "Сетевой кабель не подключен"/"Сетевой кабель сейчас подключен"). Если удается подключиться к Интернету, то практически сразу же отключается, но через некоторое время начинает работать нормально, потом может опять "вылететь". Провайдер говорит что у него все нормально. В папке Windows появился файл TempFile, после удаления появляется вновь. У меня есть подозрение на троян.
Стоит НОД32, обновляется регулярно, но видимо он все таки пропустил что то.
Логи прикладываю.

[Info_bot]

Уважаемый(ая) Марат Вахитов, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Установите Internet Explorer 8 (даже если им не пользуетесь)

Сделайте лог полного сканирования MBAM

[Марат Вахитов]

Мои сообщения почему то долго не появляются в данной теме? Что то не так?

- - - Добавлено - - -

Интернет Эксплорер 8 не удалось установить, т.к. у меня Windows XP.

- - - Добавлено - - -

Логи прилагаю.

[thyrex]

Мои сообщения почему то долго не появляются в данной теме? Что то не так?

Жать нужно кнопку Ответ, а не Ответ с цитированием, чтобы сообщение из-за ссылок не попадало на премодерацию

Поместите в карантин МВАМ только

Код:

Registry Data: 28
Hijack.StartPage, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[eac1a7fe8deec47280207c37b54f857b]
Hijack.StartPage, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[7e2d2184ef8cdf57128f9221a55f9868]
Hijack.Homepage, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://webalta.ru/poisk, Good: (http://www.Google.com), Bad: (http://webalta.ru/poisk),,[23889312f6856bcb9ab6c3ef39cb6898]
Hijack.Search, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Bar, http://webalta.ru/poisk, Good: (http://www.google.com/), Bad: (http://webalta.ru/poisk),,[4566f2b372098fa72e23526009fb4eb2]
Hijack.SearchPage, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[affc6a3be5961d19821a981f9f654cb4]
Hijack.SearchPage, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[e9c29c091b60072fc78baf037f852bd5]
Hijack.StartPage, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[c9e2634254278ea89808486b669e926e]
Hijack.StartPage, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[9d0e376e413a82b4c5dc674cbc48ab55]
Hijack.Homepage, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://webalta.ru/poisk, Good: (http://www.Google.com), Bad: (http://webalta.ru/poisk),,[852601a4017abc7ab19fd5dd6a9a3ec2]
Hijack.Search, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Bar, http://webalta.ru/poisk, Good: (http://www.google.com/), Bad: (http://webalta.ru/poisk),,[b3f8881df784dc5a94bdf1c136ceb24e]
Hijack.SearchPage, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[dad13e67205be551415b8c2b848010f0]
Hijack.SearchPage, HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[aefd2184e79488ae8cc68929e1235da3]
Hijack.StartPage, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[a902d9cc7b001f171888d6ddac581ce4]
Hijack.StartPage, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[05a66f36c0bb4aecbce54c676f957e82]
Hijack.Homepage, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://webalta.ru/poisk, Good: (http://www.Google.com), Bad: (http://webalta.ru/poisk),,[7536a104f68566d0430d0ea4cd377c84]
Hijack.Search, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Bar, http://webalta.ru/poisk, Good: (http://www.google.com/), Bad: (http://webalta.ru/poisk),,[09a2a7fe1a61b28496bbd9d962a2b64a]
Hijack.SearchPage, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[d8d3d2d3413a94a2009c298e3aca32ce]
Hijack.SearchPage, HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[dbd0c5e0e79456e09fb3258d73919d63]
Hijack.Search, HKU\S-1-5-21-1644491937-606747145-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Bar, http://webalta.ru/poisk, Good: (http://www.google.com/), Bad: (http://webalta.ru/poisk),,[ddcebce94734c86e92bf7042ea1a29d7]
Hijack.StartPage, HKU\S-1-5-21-1644491937-606747145-725345543-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[4f5cced79cdf6cca8917902334d045bb]
Hijack.StartPage, HKU\S-1-5-21-1644491937-606747145-725345543-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Page_URL, http://webalta.ru, Good: (http://www.google.com/), Bad: (http://webalta.ru),,[49621b8a9ae1ab8b960b496add277789]
Hijack.Homepage, HKU\S-1-5-21-1644491937-606747145-725345543-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Default_Search_URL, http://webalta.ru/poisk, Good: (http://www.Google.com), Bad: (http://webalta.ru/poisk),,[edbe891c57249e98262ae2d028dc56aa]
Hijack.Search, HKU\S-1-5-21-1644491937-606747145-725345543-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Bar, http://webalta.ru/poisk, Good: (http://www.google.com/), Bad: (http://webalta.ru/poisk),,[1695683dfc7ff73f4d04535f09fb1fe1]
Hijack.SearchPage, HKU\S-1-5-21-1644491937-606747145-725345543-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Search Page, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[a2092a7bfe7d79bd5f3d397e5fa55ca4]
Hijack.SearchPage, HKU\S-1-5-21-1644491937-606747145-725345543-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCH|SearchAssistant, http://webalta.ru/poisk, Good: (http://www.Google.com/), Bad: (http://webalta.ru/poisk),,[317acbdaef8c6cca252d02b08183b64a]

Files: 1
PUP.Optional.WebAlta.A, C:\Documents and Settings\???°N???N?????\Application Data\Mozilla\Firefox\Profiles\ilpxhtqn.default\searchplugins\webalta-search.xml, , [99129c09f2891c1a4818766839c92fd1],

[Марат Вахитов]

Я, честно говоря, не совсем понял, что именно мне нужно сделать.
Проверить еще раз, но не удалять найденные объекты, а поместить в карантин?
А код этот где выполнять? Или это код не для выполнения?
В ссылке про MBAM из сообщения № 2 я не нашел похожего пункта.
Можно подробнее разъяснить?

[thyrex]

Запустить МВАМ на сканирование (можно только диск С выбрать) и после его окончания выбрать действие Карантин для всех указанных записей

[Марат Вахитов]

МВАМ что то начал вылетать с ошибкой,
при попытке переустановить отказывается вообще устанавливаться (Внутренняя ошибка E06D7363).


А вообще там что то серьезное или нет? И, если да, долго ли займет лечение?

У меня есть образ системы апрельский, может мне проще с него восстановить и не тратить время?

[regist]

попробуйте эту версию http://data-cdn.mbamupdates.com/v0/p....75.0.1300.exe
если не получится, то

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Марат Вахитов]

Ок, спасибо! Наверное уже только завтра отпишусь по результатам.

[regist]

+ перед этим выполните такой скрипт

Код:

begin
 ExecuteRepair(3);
 ExecuteRepair(4);
 RebootWindows(false);
end.

большую часть вирусных записей он должен удалить.

[Марат Вахитов]

А данный скрипт нужно выполнить в AVZ или где?

По вчерашним моментам:
MBAM версии 1.75.0.1300 ничего не нашел.
Лог программы AdwCleaner прилигаю.
А в AdwCleaner надо было нажимать "Очистить" или пока только достаточно сканировать?

[regist]

А данный скрипт нужно выполнить в AVZ или где?

да в AVZ

- - - Добавлено - - -

MBAM версии 1.75.0.1300 ничего не нашел.

а базы вы обновили?

- Удалите в AdwCleaner всё кроме папок от mail.ru и Media Get - если программами от mail.ru и Media Get не пользуетесь, то их тоже удалите.

[Марат Вахитов]

Да, конечно обновил. Он предлагаел еще саму программу обновить, но при попытке это сделать опять вылетал с ошибкой при установке. Поэтому от обновления прораммы отказался, а сами базы потом дополнительно обновил из окна программы. Вот дополнительно сегодня от 01.08.2104 базы скачал, еще раз проверил, но MBAM снова ничего не нашел.

Скрипт АВЗ сделал, в AdwCleaner удалил все пункты, логи прилагаю.

Теперь в АВЗ и в HijackThis может еще по новой логи сделать?

[regist]

Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

[Марат Вахитов]

И еще странный файл TempFile в папке Windows. Он так и остался там.
С ним ничего подозрительного не связано?

- - - Добавлено - - -

Сделано. Лог выкладываю.

[regist]

еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все" и кнопку "удалить ... "

И еще странный файл TempFile в папке Windows.

расширение .tmp ? Если да то просто удалите его в корзину.

проблема решена?

[Марат Вахитов]

Спасибо, ключи в реестре удалил.
Насчет TempFile, нет он без расширения, удаляется только в безопасном режиме, но потом снова создается.
Я не знаю, связан ли он как то с постоянным отвалом сети, просто обратил внимание на него, в логе NOD32, который не смог его открыть и пропустил.
Сейчас сеть вроде стабильна, вчера отваливалась, сейчас нормально.
Я понаблюдаю еще несколько часов, отпишусь.

А логи АВЗ не нужны еще? Там все чисто?
Каких то перехватов что то слишком много красным было выделено при сканировании.

[regist]

Насчет TempFile, нет он без расширения, удаляется только в безопасном режиме, но потом снова создается.

значит он нужен для работы какой-то из программ, оставьте его.

Каких то перехватов что то слишком много красным было выделено при сканировании.

это нормально, особенно при установленном антивирусе.

--------------------
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Марат Вахитов]

Ок, выполнил. Обнаружено уязвимостей: 8
Лог наверное выкладывать не нужно сюда?
Просто по ссылкам скачиваю обновления и ставлю, так?