win7 x64
после штатной прогонки sfc (которая сказала о восстановлении сис.файлов) и лечения вирусов с помощью cureit - защитник windows упорно не хочется запускаться (что будучи до лечения вирусов, что после).
жду инструкций, ребята. логи прилагаю
спасибо

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ (http://forum.oszone.net/newthread.php?do=newthread&f=87) и выполните Правила запроса о помощи (http://forum.oszone.net/thread-98169.html).
_______________________________________________________

1/ В логе сканирования Hijackthis отметьте:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)
нажмите "Fix checked".


2/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Юзер\appdata\roaming\closer.exe','');
QuarantineFile('C:\Windows\TEMP\0.del','');
QuarantineFile('C:\Users\Юзер\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
DeleteFile('C:\Users\Юзер\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk');
DeleteFile('C:\^Users^Юзер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk');
DeleteFile('C:\Users\Юзер\appdata\roaming\closer.exe','32');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del7283546 ');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del1776124 4');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del7283546');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del17761244');
DeleteFileMask('C:\Program Files\Zaxar', '*', true);
DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(10);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

3/ Сделайте новые логи AVZ и RSIT

4/ Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

защитник windows упорно не хочется запускаться »
служба WinDefend работает?

1. сделал
2. сделал
3. прикрепил
4. прикрепил
5. прикрепил
служба WinDefend работает? »
она не может запуститься. при ручном запуске ошибка на скриншоте

1. C:\Program Files (x86)\DealPly и C:\Program Files (x86)\BetterSurf - удалите через программы и компоненты, если они там есть

2. удалите вебальту: в поиске АВЗ, где вы ее искали, кликните ПКМ по списку - выбрать все. Нажмите "удалить"

3. из найденного MBAM удалите:

Обнаруженные ключи в реестре: 13
HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PDF Reader (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 4
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0Q1O1J1S -> Действие не было предпринято.
HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: C:\Program Files (x86)\DealPly\DealPly.crx -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 13
C:\Program Files (x86)\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\64699CCC6F7C4D8780A53EF4D7B331DC (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\9200E52477264FACBE0C1BB33B0E5E08 (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ch (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ie (PUP.Optional.BetterSurf) -> Действие не было предпринято.

Обнаруженные файлы: 46
C:\Users\Юзер\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (PUP.Optional.Dealply) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято.

C:\Program Files (x86)\PDFReader\Uninstall\Uninstall.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\logs.dat (Bifrose.Trace) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.crx (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPly.xpi (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdate.log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\DealPlyUpdateVer.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\icon.ico (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files (x86)\DealPly\uninst.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\64699CCC6F7C4D8780A53EF4D7B331DC\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Юзер\AppData\Roaming\OpenCandy\9200E52477264FACBE0C1BB33B0E5E08\TuneUpUtilities2013-2200268_ru-RU.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ch\Chrome.crx (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\BetterSurf.xpi (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\build.cmd (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome.manifest (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\install.rdf (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content\firefox.js (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content\inject.js (PUP.Optional.BetterSurf) -> Действие не было предпринято.
C:\Program Files (x86)\BetterSurf\ff\chrome\content\overlay.xul (PUP.Optional.BetterSurf) -> Действие не было предпринято.
перезагрузите компьютер

4. запустите AVZ - файл - стандартные скрипты. Выполните ст. скрипт 2. выложите лог virusinfo.syscheck.zip из папки LOG

все сделал. прикладываю лог

защитник по-прежнему не запускается и та же ошибка

убедитесь, что у вас установлена конфигурация служб по умолчанию (http://paulkravchenko.wordpress.com/2010/12/13/windows-7-services/#more-257)

через политики не могли запретить запуск WinDefend?

убедитесь, что у вас установлена конфигурация служб по умолчанию »
дважды пробовал сбросить - не помогло.
через политики не могли запретить запуск WinDefend? »
дело в том, что gpedit здесь отсутствует..

дело в том, что gpedit здесь отсутствует »
да, в домашней нет

Создайте новую учетную запись, проверьте как будет под ней

Создайте новую учетную запись, проверьте как будет под ней »
все точно также.
кстати в первый пост не добавил информацию, что перед лечением вирусов накатил обновлением виндовс. это я к тому что как вариант можно уже этот способ не рассматривать..

воткнул в свою домашнюю редакцию отдельно групповые политики и по этой (http://answers.microsoft.com/en-us/windows/forum/windows_vista-security/how-do-i-enable-windows-defender-via-group-policy/17ec4c15-3df1-4cfc-84f8-e39e74056322) инструкции хотел принудительно включить там дефендер, но его там попросту нет!
как так - не могу понять...

накатил обновлением виндовс »
и после него проблема возникла?

у вас mse стоит, windefend может быть и отключен.

сделайте еще такой (http://safezone.cc/threads/kak-sdelat-issledovanie-utilitoj-getsysteminfo.16791/)лог

нашел продолжение (http://answers.microsoft.com/ru-ru/windows/forum/windows_7-security/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%BD%D0%B8%D0%BA/9e7ca397-fc7b-40bc-bdbf-cb502c494e73?msgId=a9d8cd8f-f9cc-4fbc-bbaf-daa35a0f68ad)вопроса..
в реестре значение - 1. пытаюсь сменить на 0 - ругается, видимо с правами что-то..как решить это?

и после него проблема возникла? »
нет, была еще и до обновления, просто подключил уже один из официальных методов решения...но он просто не помог.
mse=защитник windows?
тогда windows defender это что? тут я начинаю путаться

разобрался с правами в реестре, сменил значение параметра DisableAntiSpyware с 1 на 0 - служба Защитник windows спокойно запустилась, но!
Иду в реестр - а там опять старый параметр "1". Полный ппц. и вот тут круг замкнулся

вот это да....придумал проблему и пытался ее решить, а оказывается
Вопрос: Предназначена ли программа Microsoft Security Essentials для замены Защитника Windows?
Ответ: Нет, однако если вы используете Microsoft Security Essentials, запускать Защитник Windows не требуется. Программа Microsoft Security Essentials разработана для отключения Защитника Windows, чтобы самостоятельно управлять защитой ПК в режиме реального времени, включая защиту от вирусов, пакетов программ rootkit, программ-троянов и программ-шпионов.
Защитник Windows и Microsoft Security Essentials в Windows 7, Windows Vista и Windows XP (http://answers.microsoft.com/ru-ru/protect/forum/protect_defender-protect_start/%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%BD%D0%B8%D0%BA/ea6acda9-af20-430e-ac72-65aa8468cb07)
эх.... :)

mse=защитник windows? »
не =, а он видимо ее и отключает, т к сам выполняет его функциисделайте еще такой лог »

Katharsis, тем не менее я вам очень благодарен!

по логу GSI можно точно посмотреть что его отключает, хотя если не хотите, то не надо.

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 (http://safezone.cc/forum/showthread.php?t=19945), когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

http://forum.oszone.net/post-1838507-9.html

по логу GSI можно точно посмотреть что его отключает, хотя если не хотите, то не надо. »
конечно любопытно... только вот не понял что за GSI
для профилактики повторных заражений »
и я не совсем понял...мне желательно сейчас это делать или на будущее..

только вот не понял что за GSI »
я давал вам ссылку (http://safezone.cc/threads/kak-sdelat-issledovanie-utilitoj-getsysteminfo.16791/).и я не совсем понял...мне желательно сейчас это делать или на будущее.. »
сейчас, чтобы в будущем не было проблем

скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда »
нет необходимости, посмотрел содержимое ,мне всё там понятно :)
сейчас, чтобы в будущем не было проблем »
я так полагаю, это надо делать лог ДО и ПОСЛЕ. Уже схарило...как говорится

хотя какой то отчёт я сделал, может вы там увидите что-то интересное