Помогите разобраться с вирусом (playtoolbar)

[Claus]

Здравствуйте, при запуске компьютера, открывается хром с сайтом playtoolbar. Лог прилагаю.

CollectionLog-2014.11.09-01.26.zip

[thyrex]

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://adverttraff.org && exit

Выполните скрипт в AVZ

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Исправляйте ярлыки

 

C:\Users\Владимир\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

C:\Users\Владимир\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

 

Сделайте новые логи

[Claus]

Большое спасибо, сайт больше не открывается. Но на счет последнего пункта я не понял. У меня же хром, а не эксплорер + я в свойтсва ярлыка эксплорера зашел, там вроде всё норм. Можно поподробнее на счет последнего пункта, в той ссылке, которую вы дали там немного не так, там просто удалили вредоносный сайт

Хотя, стойте кажется понял, щас новый лог сделаю

Новый лог

CollectionLog-2014.11.09-10.12.zip

[Roman_Five]

выполните скрипт

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CMD','command');
RebootWindows(true);
end.

исправьте ярлыки

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647500

 

сделайте новые логи