Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   проверка после удаления блокера (http://forum.oszone.net/showthread.php?t=208710)

seman 10-06-2011 19:40 1692268
проверка после удаления блокера
 
Комп работает хорошо, проверьте плиз на остастки от малвари.

SolarSpark 10-06-2011 20:12 1692286
seman, мы с вами не в первый раз встречаемся, а вы все никак не обновите браузер
Обновите Internet Explorer до IE8 для вашей безопасности!

c:\temp\4h59vxc2.exe - это у вас CureIt!?

В браузере Firefox удаляем http://webalta.ru

1.найдите файл user.js в директории:
Цитата:
C:\Documents and Settings\%userprofile%\Application Data\Mozilla\Firefox\Profiles\xxxxxxxx.default
где xxxxxxxx - цифробуквенное значение, у всех разное.
1. откройте файл user.js блокнотом, в первой и третьей строках вместо записей webalta.ru пропишите адрес своей домашней страницы.
Цитата:
user_pref("startup.homepage_override_url", "http://webalta.ru");
user_pref("browser.startup.homepage", "http://webalta.ru");
2. найдите файл prefs.js (если есть), находящийся в этой же папке, также откройте блокнотом. Некоторые параметры могут быть заменены на webalta.ru, например:
Цитата:
user_pref("browser.startup.homepage", "_http//webalta.ru");
также исправьте.

3. посмотрите адрес и назначьте домашнюю страницу в Mozilla Firefox, на вкладке Инструменты - Настройки - Основные.

Если папка Application Data не видна, включите отображение скрытых файлов. Для этого в любой папке зайдите в меню Сервис - Свойства папки - Вид - Скрытые файлы и папки и поставьте галочку на строке "Показывать скрытые файлы и папки", а также снимите галочку в пункте "Скрывать защищенные системные файлы (рекомендуется)".

Если эти меры не помогают:
Пуск - выполнить - regedit
меню Правка - найти
В окно поиска впшите "webalta" и нажмите "Найти". Удалите все совпадения.

Пофиксить в HijackThis следующие строчки:
Код:
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
File::
c:\program files\VPets\VPets.exe
Folder::
c:\program files\VPets
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3162:TCP"=-
RegLock::
[HKEY_USERS\S-1-5-21-861567501-2111687655-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]

Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

seman 10-06-2011 20:35 1692301
лог Malwarebytes

zirreX 10-06-2011 21:37 1692324
Плюс проверьтесь утилитой TDSSKiller

seman 10-06-2011 22:35 1692360
SolarSpark,
Цитата:
Цитата SolarSpark
seman, мы с вами не в первый раз встречаемся, а вы все никак не обновите браузер »
это другой комп.
Цитата:
Цитата SolarSpark
c:\temp\4h59vxc2.exe - это у вас CureIt!? »
Gmer

zirreX 10-06-2011 22:53 1692368
Цитата:
Цитата zirreX
Плюс проверьтесь утилитой TDSSKiller »
Выложите лог из корня диска C:

SolarSpark 11-06-2011 07:22 1692480
Проверьте на http://www.virustotal.com
Код:
c:\windows\system32\drivers\atapi.sys
c:\windows\system32\winlogon.exe
ссылку на результат запостите здесь

seman 19-06-2011 18:26 1697637
Цитата:
Цитата SolarSpark
ссылку на результат запостите здесь »
http://www.virustotal.com/file-scan/...4e5-1308492737

SolarSpark 19-06-2011 22:45 1697804
Логи делаем заново, вас не было 9 дней


Время: 20:37.

Время: 20:37.
© OSzone.net 2001-