[SolarSpark]

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

Сделайте лог HijackThis

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
______________________________________

[Татарин5570]

SolarSpark,спасибо что откликнулись на мою беду,всё сделал по вашей инструкции,логи прикрепил.

[SolarSpark]

Удалит в МВАМ Потребутся повторное сканирование

Код:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.


E:\Вадим\Local Settings\Temp\0.44180189300568895.exe (Spyware.Passwords.XGen) -> Действие не было предпринято.
E:\Users\Вадим\AppData\Roaming\systemupdate.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
E:\Users\Вадим\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> Действие не было предпринято.
E:\Users\Вадим\Downloads\svchost.pif (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E22D4F8-EC4C-4982-9674-92D08E484E59}: NameServer = 5.199.140.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6E0EDC5-74AC-43FF-8860-EE5E5B4466CD}: NameServer = 5.199.140.178

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или

Код:

8.8.8.8 - основной
8.8.4.4 - альтернативный

Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

Код:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
очистите кэш dns командой ipconfig /flushdns

Презагрузка!

Меняем пароли и отписываемся о проблеме

[Татарин5570]

Всё сделал как описано в предыдущем посте.При открытии браузера Malwarebytes ругнулся на запрещённую страницу,но дальше всё хорошо,окна не всплывают. Спасибо!Выкладываю лог данных реестра:

[Sandor]

Удалите все найденное.

Деинсталлируйте MBAM.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

[Татарин5570]

Спасибо!Всё работает!Обновил почти всё ,кроме КВ976932-х64,Windows выдаёт ошибку.Как бы там не было, тема однозначно РЕШЕНА.Ещё раз сердечно благодарю!!!

[Sandor]

Рекомендации после лечения.