Где-то зацепил http://earthmobile.ru/.Помогите удалить

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Где-то зацепил http://earthmobile.ru/.Помогите удалить

У меня, похоже как у всех, кто обратился к Вам за помощью.Перекидывает на earthmobile.ru из Одноклассников, висит баннер слева
Я прикрепил еще один файл virusinfo_autoquarantine.zip, он появился в папке AVZ с двумя нужными.Может пригодиться.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantine; 

 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\xj91epwz.exe','');

 DeleteFile('C:\WINDOWS.1\Tasks\hbys41x1.job');

 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\xj91epwz.exe');

 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');

BC_ImportALL;

ExecuteSysClean;

BC_Activate;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

 SetAVZPMStatus(false);       

 RebootWindows(false);

end.

компьютер ещё раз перезагрузится. Самостоятельно настройки AVZ не меняйте !

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

найдите файл prefs.js (если есть), находящийся в этой

Цитата:

C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default

папке, откройте блокнотом.
Вместо webalta.ru впишите, допустим google.ru или что вам нужно

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.
--------------------------------------------------
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

Цитата:

на этот почтовый ящик: quarantine <at> (замените <at> на @)

Извините, я не понял на какой ящик?

minogasan, вместо <at> поставьте @

minogasan, Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему

или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл отправил по форме.И вот все, что получилось

что с проблемой ?

воспользуйтесь этими рекомендациямиэтими для удаления из настроек мозиллы webalta.ru

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

Перебрасывать стало реже.Баннер в левом углу висит.
webalta.ru удалил

Куки и кэш браузеров почистите

Все почистил.Баннер с лева висит зараза.Что можно сделать еще?

Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Высылаю лог UVS
Только теперь и внизу страницы выскакивает баннер

Обновите базы АВЗ . Повторите логи АВЗ и РСИТ.

Повторил, высылаю

ок, давайте все заново

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

O17 - HKLM\System\CCS\Services\Tcpip\..\{66D264C3-40E3-466E-982C-24BE422B3558}: NameServer = 5.199.140.178

O17 - HKLM\System\CS1\Services\Tcpip\..\{66D264C3-40E3-466E-982C-24BE422B3558}: NameServer = 5.199.140.178

O17 - HKLM\System\CS2\Services\Tcpip\..\{66D264C3-40E3-466E-982C-24BE422B3558}: NameServer = 5.199.140.178

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или

Код:

8.8.8.8 - основной

8.8.4.4 - альтернативный

Очистите кэш DNS: в командной строке выполните

Код:

ipconfig /flushdns

Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

ПЕРЕЗАГРУЗКА!

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

и отписываемся о проблеме

Ребята, короче тема такая.Перед тем, как пофиксить HijackThis, я полез посмотреть где у меня находится протокол TCP/IPv4.
А там адрес DNC-сервера (5.199.140.178 )
Я его поменял, и все встало на свои места.Пока все работает нормально
Все что написано в последнем письме проделал, файл прицепил
что Вы думаете по поводу адреса, кто мне его заменил?

Удалите все найденное по webalta

Цитата:

Цитата minogasan

что Вы думаете по поводу адреса, кто мне его заменил? »

троянский DNC, вирус это

а потому Выполните рекомендации после лечения