Вспоминая события уже почти что пятилетней давности, когда 12-летняя дочь на радостях нахватала полное лукошко вирусов,
что стало причиной постоянных BSOD's с различными ошибками, нынче 11-летний "майнкрафтер" нахватал на свой десктоп непонятно чего
после загрузок всевозможных модов и инстоллеров - как результат, тут вам и Webalta, и Антиштраф, и порносайт одноклассников, и приглашение
поиграть в GTA, и различные SMS-вымогатели, блокирующие загрузку требуемых сайтов...

Буду премного благодарен за вашу оперативную помощь в лечении компьютера.

С уважением...

1)Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\E546~1\AppData\Local\Temp\_MEI15642\win32profile.pyd','');
QuarantineFile('C:\Users\E546~1\AppData\Local\Temp\_MEI15642\win32ts.pyd','');
QuarantineFile('C:\Users\E546~1\AppData\Local\Temp\7290160FdOh','');
QuarantineFile('copy C:\Users\E546~1\AppData\Local\Temp\7290160FdOh C:\Windows\system32\drivers\etc\hosts','');
DeleteFile('copy C:\Users\E546~1\AppData\Local\Temp\7290160FdOh C:\Windows\system32\drivers\etc\hosts');
DeleteFile('C:\Users\E546~1\AppData\Local\Temp\7290160FdOh');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','7306696');
DelBHO('{EEE6C35B-6118-11DC-9C72-001320C79847}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
ExecuteRepair(13);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему

2) Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O1 - Hosts: 46.251.249.137 odnoklassniki.ru m.vk.com wap.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.co
O3 - Toolbar: (no name) - !{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file)
O3 - Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file)
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [7306696] cmd.exe /c copy C:\Users\E546~1\AppData\Local\Temp\7290160FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
некоторых строчек может не быть

3)В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

4)
Обновите базы AVZ
Сделайте повторные логи AVZ + лог RSIT

5)Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
______________________________________

Пункты 1, 2 и 3 выполнены...

Пункт 4 - выполнен...

Ждем еще MBAM

Ну, и наконец MBAM... уф... система сканировалась больше 20 часов...

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Матвей\AppData\Roaming\Google\fraps32.dll','');
QuarantineFile('C:\Windows\tasks\At1.job','');
DeleteFile('C:\Users\Матвей\AppData\Roaming\Google\fraps32.dll');
DeleteFile('C:\Windows\tasks\At1.job');
DelCLSID('FE704BF8-384B-44E1-8CF2-8DBEB3637A8A');
RegKeyDel('HKCU', 'SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://safezone.cc/forum/showthread.php?t=9) (некоторые строки могут отсутствовать):
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - !{0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file)
O3 - Toolbar: (no name) - !{2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - !{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?goto=newpost&t=19726).

+
удалите найденное если не закрыли МБАМ - либо вручную

C:\Users\Матвей\AppData\Roaming\mm-archive\mm-archive.exe (PUP.SmsPay)

Последние логи...

HiJackThis от имени администратора запускали?

Да, сейчас только... и пофиксил... вчера времени не хватило...

Как самочувствие системы?

alex_sev, самочувствие системы вроде бы в порядке...:ok: Ежели в логах не осталось никакой бяки, то можно считать тему закрытой... Спасибо огромное за помощь и заботу! :up: