[Katharsis]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ и выполните Правила запроса о помощи.
_______________________________________________________

1/ В логе сканирования Hijackthis отметьте:

Цитата:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) O3 - Toolbar: (no name) - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - (no file)

нажмите "Fix checked".


2/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Юзер\appdata\roaming\closer.exe','');
 QuarantineFile('C:\Windows\TEMP\0.del','');
 QuarantineFile('C:\Users\Юзер\AppData\Local\Yandex\YandexBrowser\Application\browser.url','');
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url','');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Users\Юзер\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk');
 DeleteFile('C:\^Users^Юзер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Zaxar Games Browser.lnk');
 DeleteFile('C:\Users\Юзер\appdata\roaming\closer.exe','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del7283546');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del17761244');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del7283546');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del17761244');
 DeleteFileMask('C:\Program Files\Zaxar', '*', true);
 DeleteDirectory('C:\Program Files\Zaxar');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(10);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3/ Сделайте новые логи AVZ и RSIT

4/ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

5. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

Цитата aka_smile:

защитник windows упорно не хочется запускаться »

служба WinDefend работает?

[aka_smile]

1. сделал
2. сделал
3. прикрепил
4. прикрепил
5. прикрепил

Цитата Katharsis:

служба WinDefend работает? »

она не может запуститься. при ручном запуске ошибка на скриншоте

[Katharsis]

1. C:\Program Files (x86)\DealPly и C:\Program Files (x86)\BetterSurf - удалите через программы и компоненты, если они там есть

2. удалите вебальту: в поиске АВЗ, где вы ее искали, кликните ПКМ по списку - выбрать все. Нажмите "удалить"

3. из найденного MBAM удалите:

Цитата:

Обнаруженные ключи в реестре: 13 HKCR\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9} (PUP.Software.Updater) -> Действие не было предпринято. HKCR\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476} (PUP.Software.Updater) -> Действие не было предпринято. HKCR\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67} (PUP.Software.Updater) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96} (PUP.Software.Updater) -> Действие не было предпринято. HKCR\Updater.AmiUpd.1 (PUP.Software.Updater) -> Действие не было предпринято. HKCR\Updater.AmiUpd (PUP.Software.Updater) -> Действие не было предпринято. HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PDF Reader (PUP.Optional.InstallCore.A) -> Действие не было предпринято. HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято. HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято. HKLM\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято. Обнаруженные параметры в реестре: 4 HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято. HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято. HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0Q1O1J1S -> Действие не было предпринято. HKLM\SOFTWARE\DealPly|ChromeCrxPath (PUP.Optional.DealPly.A) -> Параметры: C:\Program Files (x86)\DealPly\DealPly.crx -> Действие не было предпринято. Объекты реестра обнаружены: 0 (Вредоносных программ не обнаружено) Обнаруженные папки: 13 C:\Program Files (x86)\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly (PUP.OPtional.Dealply.A) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\OpenCandy\64699CCC6F7C4D8780A53EF4D7B331DC (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\OpenCandy\9200E52477264FACBE0C1BB33B0E5E08 (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ch (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\chrome (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\chrome\content (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ie (PUP.Optional.BetterSurf) -> Действие не было предпринято. Обнаруженные файлы: 46 C:\Users\Юзер\AppData\Local\SwvUpdater\Updater.exe (PUP.Software.Updater) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (PUP.Optional.Dealply) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\DealPlyUpdateRun.exe (PUP.Optional.Dealply) -> Действие не было предпринято. C:\Program Files (x86)\PDFReader\Uninstall\Uninstall.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\logs.dat (Bifrose.Trace) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\DealPly.crx (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\DealPly.xpi (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\DealPlyUpdate.log (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\DealPlyUpdateVer.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\icon.ico (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Program Files (x86)\DealPly\uninst.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.lnk (PUP.OPtional.Dealply.A) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\OpenCandy\64699CCC6F7C4D8780A53EF4D7B331DC\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Юзер\AppData\Roaming\OpenCandy\9200E52477264FACBE0C1BB33B0E5E08\TuneUpUtilities2013-2200268_ru-RU.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ch\Chrome.crx (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\BetterSurf.xpi (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\build.cmd (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\chrome.manifest (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\install.rdf (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\chrome\content\firefox.js (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\chrome\content\inject.js (PUP.Optional.BetterSurf) -> Действие не было предпринято. C:\Program Files (x86)\BetterSurf\ff\chrome\content\overlay.xul (PUP.Optional.BetterSurf) -> Действие не было предпринято.

перезагрузите компьютер

4. запустите AVZ - файл - стандартные скрипты. Выполните ст. скрипт 2. выложите лог virusinfo.syscheck.zip из папки LOG

[aka_smile]

все сделал. прикладываю лог

защитник по-прежнему не запускается и та же ошибка

[Katharsis]

убедитесь, что у вас установлена конфигурация служб по умолчанию

через политики не могли запретить запуск WinDefend?

[aka_smile]

Цитата Katharsis:

убедитесь, что у вас установлена конфигурация служб по умолчанию »

дважды пробовал сбросить - не помогло.

Цитата Katharsis:

через политики не могли запретить запуск WinDefend? »

дело в том, что gpedit здесь отсутствует..

[Katharsis]

Цитата aka_smile:

дело в том, что gpedit здесь отсутствует »

да, в домашней нет

Создайте новую учетную запись, проверьте как будет под ней

[aka_smile]

Цитата Katharsis:

Создайте новую учетную запись, проверьте как будет под ней »

все точно также.
кстати в первый пост не добавил информацию, что перед лечением вирусов накатил обновлением виндовс. это я к тому что как вариант можно уже этот способ не рассматривать..

[aka_smile]

воткнул в свою домашнюю редакцию отдельно групповые политики и по этой инструкции хотел принудительно включить там дефендер, но его там попросту нет!
как так - не могу понять...