[SolarSpark]

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.alawar.ru/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) -  - (no file)
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или

Код:

8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS: в командной строке выполните

Код:

ipconfig /flushdns

Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\VPets\VPets.exe','');
 DeleteFile('C:\Program Files\VPets\VPets.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
DeleteFileMask('C:\Program Files\VPets', '*.*', true);
 DeleteDirectory('C:\Program Files\VPets');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

ПЕРЕЗАГРУЗКА!

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

и отписываемся о проблеме

[antonku]

Всё выполнил. Проблема решена. Спасибо!
Но поиск нашел в реестре "webalta".

[regist]

повторите поиск и удалите все найденные ключи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
----------------------------------------------------------

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

[antonku]

Поиск повторил и удалил ключи.

Лог Malwarebytes' Anti-Malware прикладываю.

SecurityCheck by glax24:
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 02.04.2013 13:02:36
Program directory: C:\Users\Евгений\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.6
Диск C:\ ФС: NTFS Емкость: (223 Гб) Занято: (28.2 Гб) Свободно: (194.8 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 27.10.2010 08:21:41
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-21 12:15:45
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
Антивирус Касперского
Антивирус обновлен
Microsoft Security Essentials
Сканирование отключено
-------------Firewall_WMI-------------------------
Антивирус Касперского
-------------AntiSpyware_WMI----------------------
Windows Defender
Антивирус Касперского
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.2.223.1
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
Spybot - Search & Destroy v.1.6.2
-------------Java---------------------------------
Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180
Adobe Flash Player 11 Plugin v.11.6.602.180
Adobe Reader X (10.1.6) - Russian v.10.1.6 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.14 v.12.14.1738
Google Chrome v.26.0.1410.43
-------------EndLog-------------------------------


На данный момент:
Реклама слева в браузерах всплывает.
Самопроизвольного открытия окна на сайт http://earthmobile.ru/ больше нет.

[SolarSpark]

сделайте новый лог HijackThis

в Мвам удалить найденное

обновиться по ссылкам из SecurityCheck by glax24

Цитата antonku:

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления »

Цитата antonku:

Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^ Adobe Reader X (10.1.6) - Russian v.10.1.6 Внимание! Скачать обновления »

[antonku]

Всё сделал.

[SolarSpark]

ок, повторяем заново

Пофиксить в HijackThis следующие строчки:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CS1\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180
O17 - HKLM\System\CS2\Services\Tcpip\..\{9B91B78B-6C7C-4467-A542-2501D0132F5F}: NameServer = 80.82.209.180

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или

Код:

8.8.8.8 - основной
8.8.4.4 - альтернативный

Очистите кэш DNS: в командной строке выполните

Код:

ipconfig /flushdns

Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

[SolarSpark]

не забудьте перезагрузить компьютер

[antonku]

Повторил.
Первые пару минут всё было в порядке. Перезагрузил браузер. Реклама вернулась... всплывающее окно http://earthmobile.ru тоже....