Добрый день!
Прошу вас помочь убрать рекламу слева в браузерах и самопроизвольного открытия окна на сайт http://earthmobile.ru/.

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или
8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS: в командной строке выполните
ipconfig /flushdns

Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\VPets\VPets.exe','');
DeleteFile('C:\Program Files\VPets\VPets.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.


ПЕРЕЗАГРУЗКА!

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

и отписываемся о проблеме

Всё выполнил. Проблема решена. Спасибо!
Но поиск нашел в реестре "webalta".

повторите поиск и удалите все найденные ключи.

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)
----------------------------------------------------------

Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.

Поиск повторил и удалил ключи.

Лог Malwarebytes' Anti-Malware прикладываю.

SecurityCheck by glax24:
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 02.04.2013 13:02:36
Program directory: C:\Users\Евгений\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.6
Диск C:\ ФС: NTFS Емкость: (223 Гб) Занято: (28.2 Гб) Свободно: (194.8 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 27.10.2010 08:21:41
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-9/worldwide-languages)
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-21 12:15:45
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
Антивирус Касперского
Антивирус обновлен
Microsoft Security Essentials
Сканирование отключено
-------------Firewall_WMI-------------------------
Антивирус Касперского
-------------AntiSpyware_WMI----------------------
Windows Defender
Антивирус Касперского
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.2.223.1
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
Spybot - Search & Destroy v.1.6.2
-------------Java---------------------------------
Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jdk6downloads-1902814.html)
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180
Adobe Flash Player 11 Plugin v.11.6.602.180
Adobe Reader X (10.1.6) - Russian v.10.1.6 Внимание! Скачать обновления (http://get.adobe.com/reader/)
-------------Browser------------------------------
Opera 12.14 v.12.14.1738
Google Chrome v.26.0.1410.43
-------------EndLog-------------------------------


На данный момент:
Реклама слева в браузерах всплывает.
Самопроизвольного открытия окна на сайт http://earthmobile.ru/ больше нет.

сделайте новый лог HijackThis

в Мвам удалить найденное

обновиться по ссылкам из SecurityCheck by glax24
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления »
Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^

Adobe Reader X (10.1.6) - Russian v.10.1.6 Внимание! Скачать обновления »

Всё сделал.

ок, повторяем заново

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или
8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS: в командной строке выполните
ipconfig /flushdns

Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

не забудьте перезагрузить компьютер

Повторил.
Первые пару минут всё было в порядке. Перезагрузил браузер. Реклама вернулась... всплывающее окно http://earthmobile.ru тоже....

аха.. капаем глубже

Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/files/uvs_v377.zip) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)

а вы только браузер перегружали или пк весь?

Лог Universal Virus Sniffer (uVS).

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

setdns Подключение по локальной сети\4\{9B91B78B-6C7C-4467-A542-2501D0132F5F}\
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
EXEC cmd /c"ipconfig /flushdns"
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).

Выложите новый лог uVS

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ExecuteRepair(21);
RebootWindows(true);
end.


почистить кэш и куки браузеров и отписаться о проблеме

Всё сделал.
Проблема не решена...
В отчетах HijackThis опять всплывает адрес 80.82.209.180.

пофиксите эти строки с адресом 80.82.209.180 через HijackThis
как подключаетесь к интернету?
1)если через роутер, сбросьте его настройки, введите сложный пароль
Чтобы вернуть интернет впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподержку).
2)если подключение идет через щлюз, то первоначально сменить надо настройки в нем
пуск - панель управления ---центр управления сетями и общим доступом -изменение параметров адаптера. Изменяете настройки на настройки провайдера

куки и кэш чистили? Очистите куки и кэш браузеров, кэш Java

Подключение идет напрямую, ip, шлюз и т.д. прописываются вручную.
80.82.209.180 - и есть наш ДНС провайдера.

Куки и кэш чистил.

80.82.209.180 - и есть наш ДНС провайдера. »
вы из Германии ?

80.82.209.180 - и есть наш ДНС провайдера. »
вы серьезно хотите сказать, что ваш провайдер раздает троянские номера? то бишь, вы сами сейчас вводите их опять в настройки, я правильно понимаю?

IP адрес: 80.82.209.180
Страна: Germany
Регион: Nordrhein-Westfalen
Город: Dьsseldorf

Да, вышел курьёз.
С проблемой боролся удалённо и вирусный ДНС принял за ДНС провайдера...
Исправил. Теперь всё в порядке.
Благодарю!