Tiare Опубликовано 1 февраля, 2012 Поделиться Опубликовано 1 февраля, 2012 (изменено) + к вышесказанному Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exed:\windows\pss\4HxZRYno3FM.exe C:\WINDOWS\system32\wuauserv.dll Закройте все программы, включая антивирусное программное обеспечение и firewall AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить" begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe',''); QuarantineFile('d:\windows\pss\4HxZRYno3FM.exe',''); QuarantineFile('C:\WINDOWS\system32\wuauserv.dll',''); DeleteFile('d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe'); DeleteFile('d:\windows\pss\4HxZRYno3FM.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки выполнить второй скрипт. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось. найденные файлы (например, operaprefs.ini) заархивируйте и прикрепите в теме. Изменено 1 февраля, 2012 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
Velikodushniy Опубликовано 2 февраля, 2012 Автор Поделиться Опубликовано 2 февраля, 2012 (изменено) поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось. Вот все что нашел. Винда у меня стоит на диске D: поищите на компьютере все файлы по маске operapref* (например, через TotalCommander) и покажите список, что нашлось. Вот все что нашел. Вина у меня стоит на диске D: d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exed:\windows\pss\4HxZRYno3FM.exe C:\WINDOWS\system32\wuauserv.dll Вот ссылка относительно второго файла. Думаю его тоже нужно грохнуть ибо какойто он неадекватный. Не помню чтоб на моем компьютере были такие екзешники. https://www.virustotal.com/file/afac91a5857...6dd84/analysis/ Первого и последнего файла не нашлось. Первый помню сам что удалил из Автозагрузки а wuauserv.dll не нашел. Quarantine отправил в лабораторию. Но что то с ответом они не спешат. Может попросту убить Оперу и переустановить. Это то проще всего сделать, но что то мне подсказывает что уж ТАК просто дело не решишь! (( Постоянно в реестре возобновляется вот эта ветка (см. принскрин) с таким загадочным именем Last CommandLine v2 думаю НОГИ от сюда растут НО что это и где оно ? Не знаю и что за процес такой который запускает эту вебалту (D:\Program Files\Opera\opera.exe http://start.webalta.ru) Вы случаем не знаете, есть по реестру спецы ? Архив.rar Изменено 2 февраля, 2012 пользователем Velikodushniy Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 2 февраля, 2012 Поделиться Опубликовано 2 февраля, 2012 в файле operaprefs.ini найдите строку Home URL=http://start.webalta.ru и измените по своему усмотрению при незапущенной Opera Ссылка на комментарий Поделиться на другие сайты Поделиться
Velikodushniy Опубликовано 2 февраля, 2012 Автор Поделиться Опубликовано 2 февраля, 2012 (изменено) в файле operaprefs.ini найдите строку Home URL=http://start.webalta.ru и измените по своему усмотрению при незапущенной Opera Фуууууууууууу озадачила эта гребанная вебалта Было найдено три operaprefs.ini. Вот по этим путям. D:\Documents and Settings\Администратор\Application Data\Opera\Opera D:\Documents and Settings\Администратор\Application Data\Opera\Opera Widget Installer D:\Documents and Settings\Администратор\Application Data\Opera\Widget Яндекс.Погода 1.0 Больше ничего не находит. Во всех адрес был изменен на ya.ru НО увы всё так же Вебалта и выскакивает (((((( Капец какой то. Какие будут еще предложения. Изменено 2 февраля, 2012 пользователем Velikodushniy Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 2 февраля, 2012 Поделиться Опубликовано 2 февраля, 2012 Было найдено три operaprefs.ini. на преддыдущих скринах были ещё файлы. 1) в профиле пользователя на диске С 2) в папке Opera на диске D в реестре вручную исправьте так, чтобы осталась только ...\opera.exe поищите ещё файлы opera6.ini Ссылка на комментарий Поделиться на другие сайты Поделиться
Velikodushniy Опубликовано 2 февраля, 2012 Автор Поделиться Опубликовано 2 февраля, 2012 (изменено) на преддыдущих скринах были ещё файлы.1) в профиле пользователя на диске С 2) в папке Opera на диске D в реестре вручную исправьте так, чтобы осталась только ...\opera.exe поищите ещё файлы opera6.ini Да на диске С: нашел но там стояла страница совершенно другая не вебалта, все же её тоже поменял на всякий случай на ya.ru что касается еще одного ини в папке оперы то там лишь вот такая строка Home URL=opera:about в реестре вручную исправьте так, чтобы осталась только ...\opera.exe Самый большой прикол втом что после перезагрузки все возвращается обратно. Я и удалял эту ветку и все равно одно и тоже. Где то есть значит другая оснавная ветка или программа которая все запускает с ноля! Но где ? Изменено 2 февраля, 2012 пользователем Velikodushniy Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 2 февраля, 2012 Поделиться Опубликовано 2 февраля, 2012 operaprefs.ini - попробуйте отредактировать в безопасном режиме, при выгруженном антивирусном/защитном ПО Home URL=http://start.webalta.ru -пропишите домашнюю страницу вручную Поиск в реестре по webalta показал только одно измененное значение? попробуйте отредактировать так Ссылка на комментарий Поделиться на другие сайты Поделиться
Velikodushniy Опубликовано 2 февраля, 2012 Автор Поделиться Опубликовано 2 февраля, 2012 (изменено) operaprefs.ini - попробуйте отредактировать в безопасном режиме, при выгруженном антивирусном/защитном ПО -пропишите домашнюю страницу вручную Поиск в реестре по webalta показал только одно измененное значение? попробуйте отредактировать так Просмотрел в безопасном режиме специально еще раз повторно. Все ини файлы с ya.ru которые менял еще в обычном режиме. Поиск в реестре по webalta показал только одно измененное значение? Относительно реестра других никаких строк нет и всегда одна и таже строка оживает! Изменил в безопасном режиме её еще раз. НЕ ПОМОГЛО ((( Всё та же вебалта. Изменено 2 февраля, 2012 пользователем Velikodushniy Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 2 февраля, 2012 Поделиться Опубликовано 2 февраля, 2012 ПКМ на ярлык Опера на рабочем столе - Свойства - Объект (ничего лишнего не прописано кроме пути к Опере)? Если все нормально, тогда попробуйте переустановить оперу... Ссылка на комментарий Поделиться на другие сайты Поделиться
Velikodushniy Опубликовано 2 февраля, 2012 Автор Поделиться Опубликовано 2 февраля, 2012 ПКМ на ярлык Опера на рабочем столе - Свойства - Объект (ничего лишнего не прописано кроме пути к Опере)? Если все нормально, тогда попробуйте переустановить оперу... УРРРРРРРРРРРРАААААААААААА ! Tiare Где ж вы раньше были ) А ларчик просто открывался! В общем все дело было в ЯРЛЫКЕ ))) Убрал вебалту и всё. Реестр чист никаких больше нет вебалт! ФУУУУУУУУУУХХХХХХХ обалдеть можно. Вот эта строка была в ярлыке: "D:\Program Files\Opera\opera.exe" http://start.webalta.ru СПАСИБО ОГРОМНОЕ вам ! Roman_Five и Tiare Без вас бы ну никак не справился! Спасибо за то что Вы действительно помогаете людям! Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 2 февраля, 2012 Поделиться Опубликовано 2 февраля, 2012 (изменено) Tiare Где ж вы раньше были ) А ларчик просто открывался! В общем все дело было в ЯРЛЫКЕ ))) я рада, что все хорошо закончилось))))) P.S. ответ по отправленному карантину все еще актуален скрипт выполнили, сделайте контрольный лог RSIT Изменено 2 февраля, 2012 пользователем Tiare Ссылка на комментарий Поделиться на другие сайты Поделиться
Velikodushniy Опубликовано 2 февраля, 2012 Автор Поделиться Опубликовано 2 февраля, 2012 (изменено) Я РАДА,что все хорошо закончилось))))) Обалдеть, да вы еще и девушка! Ну прям взял бы и расцеловал ей богу ! я рада, что все хорошо закончилось))))) P.S. ответ по отправленному карантину все еще актуален скрипт выполнили, сделайте контрольный лог RSIT Что касается ответа ОК я понял, как придет ХОТЬ один из них сразу выложу Скрипты да выполнил еще раньше! ) сделайте контрольный лог RSIT Да ради такого дела, да для Вас, всё что угодно ! info.txt log.txt Изменено 2 февраля, 2012 пользователем Velikodushniy Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 2 февраля, 2012 Поделиться Опубликовано 2 февраля, 2012 После проведённого лечения рекомендуется:- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows) * выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64 - обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) все еще актуально + d:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe - файла нет, только запись осталась. Можете отредактировать вручную, т.е. удалите лишнее [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Администратор^Главное меню^Программы^Автозагрузка^4HxZRYno3FM.exe] D:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\4HxZRYno3FM.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
lim100 Опубликовано 26 июля, 2012 Поделиться Опубликовано 26 июля, 2012 Строгое предупреждение от модератора thyrex Устное предупреждение за нарушение правил раздела борьбы с вирусами Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти