автозапуск Opera с переходом на сайт weballta.com и stabgames.com

[gaibatov05]

!

Сообщение от модератора Mark D. Pearlstone

Файл virusinfo_autoquarantine.zip удалён.

avz_log.txt

virusinfo_syscheck.htm

virusinfo_syscheck.xml

virusinfo_syscheck.zip

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

деисталлируйте RelevantKnowledge через пуск - панель управления - программы

 

в свойствах ярлыков на запуск Opera удалите лишнее.

должно остаться -  "C:\Program Files (x86)\Opera\opera.exe"

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows\CurrentVersion\Run','Babakan');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

[gaibatov05]

вот результаты проверки! старгеймс ушел а вебалта осталась(((

MBAM-log-2014-01-08 (01-54-55).txt

[Roman_Five]

не сделали:

 

 

Сделайте новые логи по правилам.

 

 

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.


Объекты реестра обнаружены: 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&home=true&tid=411) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (Hijack.SearchPage) -> Плохо: (http://search.certified-toolbar.com?si=39053&tid=411&bs=true&q=) Хорошо: (http://www.google.com/) -> Действие не было предпринято.

Обнаруженные папки: 1
C:\Users\Work\AppData\Roaming\WebaltaService (Adware.Webalta) -> Действие не было предпринято.

Обнаруженные файлы: 19
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlls.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlls64.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlph.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlservice.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlvknlg.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlvknlg32.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\rlxf.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\components\rlxg.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\RelevantKnowledge\firefox\rlnx.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Program Files (x86)\Subway Surfers\KBHook.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Users\Work\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle\1.3.332.2_0\plugins\rlcm.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Windows\SysWOW64\rlls.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\System Volume Information\SystemRestore\FRStaging\Гайбат\программы\DAEMON Tools Pro\uninst.exe (Malware.Gen) -> Действие не было предпринято.
C:\Users\Work\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle\1.3.332.2_0\plugins\rlcm.dll (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
C:\Users\Work\AppData\Roaming\WebaltaService\WebaltaService.cfg (Adware.Webalta) -> Действие не было предпринято.
 

После удаления откройте лог и прикрепите его к сообщению.

 

проверьте 2 файла на virustotal.com

C:\Program Files (x86)\Subway Surfers\KBHook.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Work\Downloads\Программы\Subway_Klaviatura.rar (Trojan.Downloader) -> Действие не было предпринято.

2 ссылки на результат проверки приложите

 

 

Сделайте лог AdwCleaner
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/#post-160195

[gaibatov05]

я зашел в МБАМ и удалил с карантина все))) теперь и вебалты нет))) спасибо большое вам!!!

AdwCleanerS0.txt

[Roman_Five]

зачем выполнять всё ТАК избирательно?

 

 

 

Сделайте новые логи по правилам.

 

 

2 ссылки на результат проверки приложите

 

 

После удаления откройте лог и прикрепите его к сообщению.

[gaibatov05]

ну все же прошло успешно)))

mbam-log-2014-01-08 (18-54-02).txt

info.txt

log.txt

[Xenon]

@gaibatov05, не зря вам хелпер советует что-то сделать. Могут оставаться хвосты от заразы!

P.S. сорри за оффтоп

Изменено 8 января, 2014 пользователем Xenon

[gaibatov05]

Спасибо большое конечно)) просто кое-что я так и не понял до конца что как делать)) а переспрашивать нехочется чтоб лишний раз не напрягать))

 

Сообщение от модератора Roman_Five

Прописными не пишем!

[Roman_Five]

чисто.

 

логов AVZ и 2-х ссылок (по правде сказать, уже не актуальных) так и не дождались. 

 

для профилактики - http://virusinfo.info/showthread.php?t=73352

[gaibatov05]

спасибоооо))))

avz_log.txt

[Roman_Five]

надо было всё это обновить:

 

 

Установите новый Internet Explorer
http://windows.microsoft.com/ru-ru/internet-explorer/download-ie

Накопительное обновление системы безопасности для битов аннулирования ActiveX
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=dd7cc36b-bb4e-4548-8d9c-43c6dd6cb78e

Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=d0d8e289-2c71-4b40-9a1f-de2501c8d40e

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097
Для установки этого обновления требуется установить SP3 для Office 2007
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0E40BBE7-1422-40EA-912D-2A29D709F93F

Firefox 7.0.1 устарел. Удалите его или установите новый
http://www.mozilla.com/

Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual_v6.jsp

Opera 11.64 устарела. Удалите её или установите новую
http://www.opera.com/browser/download

[gaibatov05]

я вроде все обновил, когда создал лог там вышли те же ошибки(((

avz_log.txt

[Roman_Five]

ещё не всё.

 

 

Установите новый Internet Explorer
http://windows.microsoft.com/ru-ru/internet-explorer/download-ie

Уязвимости драйверов режима ядра Windows делают возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=d0d8e289-2c71-4b40-9a1f-de2501c8d40e

Уязвимость общих элементов управления Windows делает возможным удаленное выполнение кода
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=b1c185e9-5328-4bf7-b175-fd9d7fc64097

Множественные уязвимости в Java JDK и JRE (32-разрядная версия). Деинсталлируйте старую версию и установите новую:
http://www.java.com/ru/download/manual_v6.jsp

Opera 11.64 устарела. Удалите её или установите новую
http://www.opera.com/browser/download