Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите в Удлении mybackdoor.net. и webalta (http://forum.oszone.net/showthread.php?t=249842)

Elanya 24-12-2012 09:42 2052252
Помогите в Удлении mybackdoor.net. и webalta
 
Вложений: 2
Добрый день! Подхватила такие прелести =*(
mybackdoor.net. (в браузерах кроме IE перекидывает на эту страницу с предложением смс)
webalta (при открытии с любого браузера открывает эту страницу как стартовую)

Логи прилогаю. Спасибо!

S.R 24-12-2012 11:06 2052300
Внимание! Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и подготовьте логи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Пофиксите с помощью HiJackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
Откройте файл C:\Users\Elanya\AppData\Roaming\Mozilla\Firefox\Profiles\12bi1d99.default\prefs.js блокнотом, найдите в нём строку
Код:
"keyword.URL" -  "http://webalta.ru/search?from=FF&q="
И измените адрес поисковика на желаемый.

Далее, удалите файл C:\Users\Elanya\AppData\Roaming\Mozilla\Firefox\Profiles\12bi1d99.default\searchplugins\webalta-search.xml

________________________________________
Подготовьте лог полного сканирования Malwarebytes Anti-Malware (MBAM) => FAQ по работе с Malwarebytes Anti-Malware
Подготовьте лог SecurityCheck by glax24 => Как подготовить лог SecurityCheck by glax24
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.

Elanya 24-12-2012 14:43 2052478
Вложений: 3
Готово

Elanya 24-12-2012 14:44 2052479
Вложений: 1
Ещё

alex_sev 24-12-2012 14:54 2052491
Повторите сканирование в MBAM и удалите все кроме:

Код:
D:\$RECYCLE.BIN\S-1-5-21-80706866-170097230-1000672333-1000\$R45J6M5\Crack\keymaker.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Download\Adobe Photoshop CS6 13.0\adobe.photoshop.cs6-patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Download\Alcohol 120% retail 1.9.8.7612 Ru XCV edition\Alcohol-120-retail-1-9-8-7612-Ru-XCV-edition.exe (Backdoor.Small) -> Действие не было предпринято.
D:\Download\Alcohol 120% retail 1.9.8.7612 Ru XCV edition\Alcohol 120\Langs\AX_RU.dll (Malware.Packer.GenX) -> Действие не было предпринято.
D:\Elanya\Softina\DAEMON.Tools.Pro.Advanced.4.35.0308.Inc.New.AutoLoader.0.4\loader_0.4\AutoLoader_DT_loader_0.4.exe (Trojan.Swisyn) -> Действие не было предпринято.
D:\Elanya\Softina\Nero 9.4.13.2 POLNYJ KOMPLeKT\Запись Nero 9.4.13.2 Final Полный комплект\Keymaker\keymaker.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Elanya\Softina\UltraISO_Premium_Edition_9.3.6.2750_keygen\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
D:\Elanya\Softina\WinRAR.v3.8 RUS\Crack\LicenseMaker.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\GamNo\WFT 1.26a\Warcraft 3 Frozen Throne\BNetGatewayEditor.exe (Trojan.LDPinch) -> Действие не было предпринято.
D:\RECYCLER\S-1-5-21-1177238915-1580436667-1801674531-500\Dd53.23\Keygen.exe (Malware.Packer) -> Действие не было предпринято.
Закрывайте уязвимости:

Цитата:
QuickTime v.7.72.80.56 Внимание! Скачать обновления
Adobe Reader X (10.1.4) v.10.1.4 Внимание! Скачать обновления
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления
The Bat! Professional v4.2.23 v.4.2.23 Внимание! Скачать обновления

Elanya 24-12-2012 16:45 2052559
Вложений: 1
Сделала.
Лог прикрепляю.
Вебалта так и не удалилась =(

thyrex 24-12-2012 19:51 2052707
Есть подозрения, что Вы не удаляли ничегошеньки

Запустите еще раз сканирование МВАМ. Когда оно завершится, отметьте все пункты, кроме тех, что Вам указали в сообщении №5, и нажмите кнопку Удалить

Elanya 25-12-2012 07:48 2052949
Странно. Мубэкдор удалился. Во всяком случае в браузерах не вылазиет более. Возможно у меня руки кривоваты Х)
Сейчас ещё раз сделаю! Спасибо!

alex_sev 25-12-2012 09:17 2052982
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.

Elanya 25-12-2012 09:20 2052986
Вложений: 2
В Малваре кроме исключений ни чего не обнаруженно =/
Прикрепляю лог и скрин.

Elanya 25-12-2012 10:19 2053016
Вложений: 2
Логи ОТЛ

alex_sev 25-12-2012 11:31 2053040
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - prefs.js..browser.search.defaultenginename: "Webalta Search"
    FF - prefs.js..browser.search.selectedEngine: "Webalta Search"
    FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    O4 - HKU\S-1-5-21-2319947227-1256680270-4195452630-1000..\Run: []  File not found
    O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
    [2012.12.12 15:31:27 | 000,000,040 | -H-- | M] () -- C:\F25A68FF1BEF
    :Services

    :Files

    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.


+


Скачайте эту утилиту http://rghost.ru/42495752 запустите, будет создан лог opera.log прикрепите его тоже. Оперу нужно закрыть перед началом.

Elanya 25-12-2012 12:54 2053099
Вложений: 3
Сделано!

alex_sev 25-12-2012 13:06 2053106
Отлично:
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Далее:

Закройте Оперу.
Откройте в блокноте файл:

Код:
C:\Users\Elanya\AppData\Roaming\Opera\Opera\operaprefs.ini
найдите в нем строки:

Код:
Home URL = http://home.webalta.ru/?new
Search Type = 61EB20A4D4D54276A2C9DCCE8CE9F633
и удалите только их - больше ничего.

далее найдите строку:

Код:
Startup Type = 2
замените 2 на 4

сохраните данный файл.

Проверьте самочувствие браузеров

Elanya 25-12-2012 15:47 2053192
Вложений: 1
Cделала! Вебалта осталась Х) :biggrin:

alex_sev 25-12-2012 15:56 2053194
Ну и у нас патроны в обойме еще есть))

Ознакомьтесь с этой статьей:

http://safezone.cc/forum/showthread.php?t=18197

особенно с этой частью:

http://safezone.cc/forum/showpost.ph...50&postcount=5

Elanya 25-12-2012 16:36 2053208
Посмотрела.
В фаер фоксе нашла её ещё в списке "расширения" отключила - удалила
Не помогло.
С оперой так же =*(

alex_sev 25-12-2012 16:42 2053211
Ярлыки посмотрели?

Elanya 25-12-2012 17:30 2053238
Да. Ни в одном нет указания на вебалту :o

alex_sev 25-12-2012 17:37 2053245
Снова сделайте это:

Цитата:
Цитата alex_sev
Скачайте эту утилиту http://rghost.ru/42495752 запустите, будет создан лог opera.log прикрепите его тоже. Оперу нужно закрыть перед началом. »

regist 25-12-2012 22:49 2053407
+
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

Elanya 28-12-2012 22:46 2055355
Спасибо!

regist 29-12-2012 00:10 2055406
Elanya, где запрошенный лог ?


Время: 02:52.

Время: 02:52.
© OSzone.net 2001-