Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Битва с eartmobile.ru ,нужна ваша профессиональная помощь. (http://forum.oszone.net/showthread.php?t=257950)

Татарин5570 05-04-2013 18:32 2126419
Битва с eartmobile.ru ,нужна ваша профессиональная помощь.
 
Всем доброе время суток !Месяца 3 назад мне не посчастливилось намотать это чудо (eartmobile.ru) на свой ПК система Windows 7. Др WEB нашел файл,удалил,но эта гадость напакостила в системе так,что чихается до сих пор.Некоторые сайты не открываются,иногда происходит переадресация но НОД 32 блокирует эти страницы, и постоянно всплывают окна в браузерах.В и-нет выхожу через роутер NETGAR. На компе установлено две системы,ХР-диск С,и Win 7- диск Е. Логи прилагаю.Очень надеюсь на вашу помощь,всех за ранее благодарю.

SolarSpark 06-04-2013 11:26 2126731
Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:
begin
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

Сделайте лог HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
______________________________________

Татарин5570 06-04-2013 16:55 2126919
SolarSpark,спасибо что откликнулись на мою беду,всё сделал по вашей инструкции,логи прикрепил.

SolarSpark 07-04-2013 21:49 2127807
Удалит в МВАМ Потребутся повторное сканирование
Код:
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.


E:\Вадим\Local Settings\Temp\0.44180189300568895.exe (Spyware.Passwords.XGen) -> Действие не было предпринято.
E:\Users\Вадим\AppData\Roaming\systemupdate.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
E:\Users\Вадим\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> Действие не было предпринято.
E:\Users\Вадим\Downloads\svchost.pif (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

Пофиксить в HijackThis следующие строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E22D4F8-EC4C-4982-9674-92D08E484E59}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6E0EDC5-74AC-43FF-8860-EE5E5B4466CD}: NameServer = 5.199.140.178
В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или
Код:
8.8.8.8 - основной
8.8.4.4 - альтернативный
Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

Код:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
очистите кэш dns командой ipconfig /flushdns
Презагрузка!

Меняем пароли и отписываемся о проблеме

Татарин5570 08-04-2013 17:34 2128354
Всё сделал как описано в предыдущем посте.При открытии браузера Malwarebytes ругнулся на запрещённую страницу,но дальше всё хорошо,окна не всплывают. Спасибо!Выкладываю лог данных реестра:

Sandor 08-04-2013 17:51 2128362
Удалите все найденное.

Деинсталлируйте MBAM.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Татарин5570 08-04-2013 20:22 2128431
Спасибо!Всё работает!Обновил почти всё ,кроме КВ976932-х64,Windows выдаёт ошибку.Как бы там не было, тема однозначно РЕШЕНА.Ещё раз сердечно благодарю!!!

Sandor 09-04-2013 09:08 2128705
Рекомендации после лечения.


Время: 07:02.

Время: 07:02.
© OSzone.net 2001-