agent Helen Опубликовано 28 ноября, 2012 Опубликовано 28 ноября, 2012 Добрый вечер! Во всех браузерах навязывается стартовая страница webalta.ru. При открытом эксплоере включаются сразу 3 процесса iexplore.exe, в мозилле - firefox.exe берёт много памяти и в диспетчере задач отображаются 2 штуки flashplayerplugin...exe. Плюс есть процессы без издателя, для которых не открываются места хранения и не удаётся завершить всё дерево процессов. Может быть, конечно, это какие-то нужные процессы, я не знаю, вот они: csrss.exe, nwsvc.exe, NvXDSync.exe, winlogon.exe. Как следствие всего вышеперечисленного - медленная работа интернета, иногда проигрывателя и ворда. Логи: virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt
Tiare Опубликовано 28 ноября, 2012 Опубликовано 28 ноября, 2012 agent Helen, здравствуйте. Известно, что это? Используете? Елки новогодние на рабочий стол устанавливали? C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.238\XmasSpirit.exeC:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.387\LiveChristmasTree.exe C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.466\MagicTree.exe C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.498\FreeXmasTree.exe C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.734\Christmas.exe C:\Users\Vosya\AppData\Local\Temp\Rar$EXa0.848\Christmas.exe Если данные файлы есть на диске, то Проверьте эти файлы на virustotal Раскрывающийся текст: кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
agent Helen Опубликовано 29 ноября, 2012 Автор Опубликовано 29 ноября, 2012 Устанавливали ёлки с флэшки. На диске 2 файла. Результаты по ним: https://www.virustotal.com/file/85ec201654b...sis/1354206507/ https://www.virustotal.com/file/0e8b05499ea...sis/1354206621/ Проверка MBAM: mbam_log_2012_11_30__00_41_05_.txt
thyrex Опубликовано 29 ноября, 2012 Опубликовано 29 ноября, 2012 Удалите в МВАМ только указанные ниже записи Обнаруженные ключи в реестре: 4 HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные папки: 4 C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 17 C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\AppData\Local\Webalta Toolbar\BandObjectLib.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\AppData\Local\Webalta Toolbar\gacutil.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\AppData\Local\Webalta Toolbar\Interop.SHDocVw.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Users\Vosya\AppData\Local\Webalta Toolbar\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято. C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88\WebAltaSearch.dll (PUP.ToolBar.WA) -> Действие не было предпринято.
agent Helen Опубликовано 30 ноября, 2012 Автор Опубликовано 30 ноября, 2012 Удалите в МВАМ только указанные ниже записи Удалила! Но вебалта почему-то не исчезла (после перезагрузки)... mbam_log_2012_11_30__15_30_11_.txt MBAM периодически выдаёт сообщение "была предотвращена попытка доступа к вредоносному сайту... процесс: firefox.exe" , и снова появляются те 2 процесса, о которых я писала в первом сообщении, flashplayerplugin_11_4_402_287.exe, после них обычно компьютер чуть ли не зависает... По-моему, мозиллу устанавливали с интернета, может, это имеет значение? - бесплатный сыр только в мышеловке Что ещё я могу предпринять?
Tiare Опубликовано 30 ноября, 2012 Опубликовано 30 ноября, 2012 Удалила! Но вебалта почему-то не исчезла (после перезагрузки)... в каких браузерах?
agent Helen Опубликовано 30 ноября, 2012 Автор Опубликовано 30 ноября, 2012 Tiare, в мозилле, эксплоере, хроме. Хромом не пользуемся, не помню, откуда он взялся.
Roman_Five Опубликовано 30 ноября, 2012 Опубликовано 30 ноября, 2012 Но вебалта почему-то не исчезла сделайте такой лог http://safezone.cc/forum/showthread.php?t=19726
agent Helen Опубликовано 1 декабря, 2012 Автор Опубликовано 1 декабря, 2012 (изменено) сделайте такой логhttp://safezone.cc/forum/showthread.php?t=19726 Выполнено AdwCleaner_R1_.txt Подскажите ещё, пожалуйста, то, что virustotal обнаружил в ёлках для рабочего стола, лечится, или удалять? Изменено 1 декабря, 2012 пользователем agent Helen
Roman_Five Опубликовано 2 декабря, 2012 Опубликовано 2 декабря, 2012 Выполнено чисто. или удалять? на ваше усмотрение? Но вебалта почему-то не исчезла ещё актуально? проверьте ярлыки для запуска браузеров.
agent Helen Опубликовано 3 декабря, 2012 Автор Опубликовано 3 декабря, 2012 о, да! вебалты нет! спасибо огромное за помощь! с остальным у нас всё норм? нигде ничего не сидит больше?
Roman_Five Опубликовано 3 декабря, 2012 Опубликовано 3 декабря, 2012 Рекомендации после лечения деинсталлируйте MBAM
agent Helen Опубликовано 4 декабря, 2012 Автор Опубликовано 4 декабря, 2012 Здравствуйте ещё раз! Сделали дополнительно проверку Kaspersky VRT (первоначально - ДокторВеб и различные антивирусные утилиты) и обнаружили 6 троянов и 9 вредоносных программ, удивились... Но на данный момент проблема вот в чём. Взгляните на диспетчер задач: Меня беспокоят 2 процесса iexplore (местоположение указывают на одно и то же приложение в прогамм файлс), эти странные флэшплеерплагины и системные процессы, для которых не открываются места хранения и отсутствует возможность завершения процесса. В безопасном режиме у всех процессов есть пользователь, в обычном - увы, не у всех... Читала, что вирусные программы маскируются под легальные. Вопрос: как их обнаружить и уничтожить? Может быть, вручную через реестр? Только скажите, как, я всё сделаю! )
Roman_Five Опубликовано 8 декабря, 2012 Опубликовано 8 декабря, 2012 Взгляните на диспетчер задач: там всё нормально.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти