Привет всем! Помогите плиз удалить вирус. Дело обстоит так: Включаю компьютер и обнаруживаю на рабочем столе зелёный файлик формата exe и написано на нем песенка.mp3 1 мегабайт ну ясное дело что это не песня, а вирь. Спросил у сестры. И оказалось что она скачивала музыку и нечаянно скачала и запустила этот файл.
И ещё во всех браузерах изменились стартовые странички(( В опере вообще при старте две вкладки с левой поисковой системой. В Мозилле одна." http://home.webalta.ru/ "
Вот логи!

Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.

+

Подготовьте лог OTL by OldTimer (http://safezone.cc/forum/showpost.php?p=64662&postcount=1)

Вот!

Вот просто первый раз не прикреплялось!

Запустите повторно OTL by OldTimer (http://oldtimer.geekstogo.com/OTL.exe) или OTL.com (http://oldtimer.geekstogo.com/OTL.com) или OTL.scr (http://oldtimer.geekstogo.com/OTL.scr).

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

:processes
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
IE - HKCU\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE
FF - prefs.js..browser.search.defaultenginename: "Webalta Search"
FF - prefs.js..browser.search.selectedEngine: "Яндекс"
FF - prefs.js..keyword.URL: "http://webalta.ru/search?from=FF&q="
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012.03.13 00:34:56 | 000,000,412 | ---- | M] () -- C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\9vf96daw.default\searchplugins\webalta-search.xml
CHR - default_search_provider: \u042F\u043D\u0434\u0435\u043A\u0441 ()
CHR - default_search_provider: search_url = http://webalta.ru/srch?q={searchTerms}
CHR - homepage: http://home.webalta.ru
[2012.10.10 23:45:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Пользователь\Главное меню\Программы\Webalta Toolbar
[2012.10.10 23:45:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Пользователь\Local Settings\Application Data\Webalta Toolbar
[2012.06.19 12:47:59 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
@Alternate Data Stream - 135 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:679ABA25
:Services

:Files

autorun.inf /alldrives
ipconfig /flushdns /c
:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Странно компьютер не перезагрузился. пришлось кнопочку нажимать. И в браузерах всё осталось как было((

10112012_213304

Бывает, лог найдите и приложите, как я указал. С браузерами сейчас разберемся, давайте сначала мусор почистим))

All processes killed
========== PROCESSES ==========
========== OTL ==========
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ not found.
Prefs.js: "Webalta Search" removed from browser.search.defaultenginename
Prefs.js: "Яндекс" removed from browser.search.selectedEngine
Prefs.js: "http://webalta.ru/search?from=FF&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ deleted successfully.
C:\Documents and Settings\Пользователь\Application Data\Mozilla\Firefox\Profiles\9vf96daw.default\searchplugins\webalta-search.xml moved successfully.
Use Chrome's Settings page to remove the default_search_provider items.
Use Chrome's Settings page to remove the default_search_provider items.
Use Chrome's Settings page to change the HomePage.
C:\Documents and Settings\Пользователь\Главное меню\Программы\Webalta Toolbar folder moved successfully.
C:\Documents and Settings\Пользователь\Local Settings\Application Data\Webalta Toolbar folder moved successfully.
C:\WINDOWS\assembly\Desktop.ini moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:679ABA25 deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
autorun.inf not found in C:\
autorun.inf not found in D:\
autorun.inf not found in E:\
autorun.inf not found in F:\
File move failed. L:\AUTORUN.INF scheduled to be moved on reboot.
< ipconfig /flushdns /c >
No captured output from command...
C:\Documents and Settings\Пользователь\Рабочий стол\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temporary Internet Files folder emptied: 67 bytes

User: Ïîëüçîâàòåëü

User: Пользователь
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 983296 bytes
->FireFox cache emptied: 33171725 bytes
->Google Chrome cache emptied: 17281489 bytes
->Opera cache emptied: 52586445 bytes
->Flash cache emptied: 18587 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2340499 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 8323940 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 109,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10112012_213304

Files\Folders moved on Reboot...
File move failed. L:\AUTORUN.INF scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Отлично, все что хотел почистить - почистилось.

С браузерами у Вас дело в ярлыках.

Читайте эту тему (http://safezone.cc/forum/showthread.php?t=18197), а точнее последнее сообщение (http://safezone.cc/forum/showpost.php?p=120250&postcount=5) и исправляйте ярлыки. Они у Вас изменены не только на рабочем столе но и в панели быстрого запуска.

Затем:

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt. Прикрепите отчет к своему следующему сообщениюВнимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

+

Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Когда увидите консоль, нажмите любую клавишу для продолжения сканирования Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt; Прикрепите файл к следующему сообщению.Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=17023).

Вот!

Antivirus out of date! - обновите антивирус
Java version out of Date! - прочтите статью (http://safezone.cc/forum/showthread.php?t=18473) и обновите Java (ссылка в статье)
Flash Player out of Date! - ссылка (http://get.adobe.com/ru/flashplayer/otherversions/)
Adobe Reader out of Date! - обновите через меню Справка - Проверка обновлений
Firefox out of Date! - тоже обновить.

Что с проблемами?