у меня вирус - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - у меня вирус (http://forum.oszone.net/showthread.php?t=262795)

у меня вирус

недавно у меня при попытки зайти в гугл или в яндекс появляется такое сообщение:
"мы зарегистрировали подозрительный трафик исходящей из вашей сети.
с помощю этой страницы мы сможем определить что запросы отправляете именно вы а не робот."
или
"Сертификат безопасности сайта не является доверенным!
Вы попытались перейти на сайт www.google.ru, но сервер предоставил сертификат, выданный организацией, которую операционная система компьютера не считает надежной. Это может означать, что сервер создал свой собственный сертификат, которому Google Chrome не может доверять, или что вмешался злоумышленник.
Невозможно продолжить, так как для домена включена повышенная защита.
Назад к безопасности"
а когда пытаюсь зайти в vk.com там пишут типо на вашу страничку пытались зайти 25 раз она заблокирована типо пройдите по ссылке введите номер. а там меня подписуют к платной услуге и код так и не пришел.
На вашем форуме я нашёл этот пост и делал всё по инструкции. файлы прекрипил. помогите пожалуйста вылечить комп
в архиве "всё тут" все эти файлы вместе

Выполните скрипт в AVZ

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;

 QuarantineFile('C:\PROGRA~3\Mozilla\zyicfel.dll','');

 DeleteFile('C:\PROGRA~3\Mozilla\zyicfel.dll');

DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи + скриншот папки windows\system32\tasks

вот логи и скрин а тот файл я кинул через файлообменник

на всякий случай я и так отправлю

Файл gxwrfnk удалите

Смените все пароли

Пофиксите в HhiJack

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Проблема решена?

да, проблемпт решена. Но профиксировать код
"R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search"
я так и не смог

Да, спасибо. У меня всё получилось. Теперь поставлю касперского вместо майкрософт эсэншол

Чтобы полностью избавиться от вебальты:

AVZ - Сервис - Поиск данных в реестре.
В поле "Образец" впишите webalta, нажмите "Пуск". После окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

Цитата:

Цитата lehos

Но профиксировать код я так и не смог »

HijackThis нужно запускать правой кнопкой мыши "от имени Администратора"