webalta, неизвестные процессы на компьютере

[agent Helen]

Добрый вечер! Во всех браузерах навязывается стартовая страница webalta.ru. При открытом эксплоере включаются сразу 3 процесса iexplore.exe, в мозилле - firefox.exe берёт много памяти и в диспетчере задач отображаются 2 штуки flashplayerplugin...exe. Плюс есть процессы без издателя, для которых не открываются места хранения и не удаётся завершить всё дерево процессов. Может быть, конечно, это какие-то нужные процессы, я не знаю, вот они: csrss.exe, nwsvc.exe, NvXDSync.exe, winlogon.exe. Как следствие всего вышеперечисленного - медленная работа интернета, иногда проигрывателя и ворда.

 

Логи:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[Tiare]

agent Helen, здравствуйте.

 

Известно, что это? Используете? Елки новогодние на рабочий стол устанавливали?

C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.238\XmasSpirit.exe

C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.387\LiveChristmasTree.exe

C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.466\MagicTree.exe

C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.498\FreeXmasTree.exe

C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.734\Christmas.exe

C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.848\Christmas.exe

Если данные файлы есть на диске, то

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

 

 

 

+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

[agent Helen]

Устанавливали ёлки с флэшки. На диске 2 файла. Результаты по ним:

 

https://www.virustotal.com/file/85ec201654b...sis/1354206507/

 

https://www.virustotal.com/file/0e8b05499ea...sis/1354206621/

 

Проверка MBAM:

 

mbam_log_2012_11_30__00_41_05_.txt

[thyrex]

Удалите в МВАМ только указанные ниже записи

Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные папки:  4
C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы:  17
C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\AppData\Local\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\AppData\Local\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Vosya\AppData\Local\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.

[agent Helen]

Удалите в МВАМ только указанные ниже записи

Удалила! Но вебалта почему-то не исчезла (после перезагрузки)...

mbam_log_2012_11_30__15_30_11_.txt

MBAM периодически выдаёт сообщение "была предотвращена попытка доступа к вредоносному сайту... процесс: firefox.exe" , и снова появляются те 2 процесса, о которых я писала в первом сообщении, flashplayerplugin_11_4_402_287.exe, после них обычно компьютер чуть ли не зависает... По-моему, мозиллу устанавливали с интернета, может, это имеет значение? - бесплатный сыр только в мышеловке

Что ещё я могу предпринять?

[Tiare]

Удалила! Но вебалта почему-то не исчезла (после перезагрузки)...

в каких браузерах?

[agent Helen]

Tiare, в мозилле, эксплоере, хроме. Хромом не пользуемся, не помню, откуда он взялся.

[Roman_Five]

Но вебалта почему-то не исчезла

сделайте такой лог

http://safezone.cc/forum/showthread.php?t=19726

[agent Helen]

сделайте такой лог

http://safezone.cc/forum/showthread.php?t=19726

Выполнено

AdwCleaner_R1_.txt

 

Подскажите ещё, пожалуйста, то, что virustotal обнаружил в ёлках для рабочего стола, лечится, или удалять?

Изменено 1 декабря, 2012 пользователем agent Helen

[Roman_Five]

Выполнено

чисто.

 

или удалять?

на ваше усмотрение?

 

Но вебалта почему-то не исчезла

ещё актуально? проверьте ярлыки для запуска браузеров.

[agent Helen]

о, да! вебалты нет! спасибо огромное за помощь!

с остальным у нас всё норм? нигде ничего не сидит больше?

[Roman_Five]

Рекомендации после лечения

 

деинсталлируйте MBAM

[agent Helen]

Здравствуйте ещё раз!

Сделали дополнительно проверку Kaspersky VRT (первоначально - ДокторВеб и различные антивирусные утилиты) и обнаружили 6 троянов и 9 вредоносных программ, удивились...

Но на данный момент проблема вот в чём. Взгляните на диспетчер задач:

Меня беспокоят 2 процесса iexplore (местоположение указывают на одно и то же приложение в прогамм файлс), эти странные флэшплеерплагины и системные процессы, для которых не открываются места хранения и отсутствует возможность завершения процесса. В безопасном режиме у всех процессов есть пользователь, в обычном - увы, не у всех...

Читала, что вирусные программы маскируются под легальные. Вопрос: как их обнаружить и уничтожить? Может быть, вручную через реестр? Только скажите, как, я всё сделаю! )

[Roman_Five]

Взгляните на диспетчер задач:

там всё нормально.