Доброго всем дня.
Суть проблемы: при запуске firefox последней версии nod32 v.6 сообщает о блокировке подозрительного адреса (скрин во вложении). После чего появилось точно не знаю, но недавно. Каких либо торможений, иных чудес при работе win xp sp3 не заметил. Cure it правда с папках sysrem volume information на системном и на локальном дисках что-то нехорошее обнаружил (skymonk) и благополучно поместил их в карантин, ну а я их оттуда также благополучно удалил (может и поспешил).
После сканирования AVZ проблема вроде пропала, по крайней мере вот уже пару часов. Так и не понял в чем была причина.
Решил таки еще раз посканировать систему Cure it'ом и к сожалению опять что-то есть: Trojan.Siggen5.8309, tool.skymonk, Adware.Toolbar. Как же побороть заразу?

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение систем от вредоносных программ (http://forum.oszone.net/newthread.php?do=newthread&f=87) и выполните Правила запроса о помощи (http://forum.oszone.net/thread-98169.html).
_______________________________________________________

C:\RectorDecryptor.2.6.8.0_28.10.2013_10.54.39_log.txt
C:\XoristDecryptor.2.3.22.0_28.10.2013_10.53.48_log.txt

у вас файлы зашифрованы или зачем это?

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Install\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\tRUE\tRUEs.KeyGen.exe','');
QuarantineFile('D:\Install\!Стройтехнорм_v5\SD_5_LAN_KEYGEN_INT_271\SD5Keygen.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','');
QuarantineFile('C:\DOCUME~1\Andrey\LOCALS~1\Temp\mc21.tmp','');
DeleteFile('C:\WINDOWS\system32\Drivers\HNPsSdk.drv','32');
DeleteService('PSSdk21');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://www.oszone.net/virusnet). Укажите ссылку на тему и ник на форуме.

2. Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

3. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

Доброе утро. Спасибо за рекомендации.
Файлы C:\RectorDecryptor.2.6.8.0_28.10.2013_10.54.39_log.txt и C:\XoristDecryptor.2.3.22.0_28.10.2013_10.53.48_log.txt остались от использования утилит Лаборатории Касперского (от страха запускал всё), но так ничего этими 2-мя утилитами и не проверил (не было ничего шифрованного для проверки), логи наверное остались о попытке проверки.
Далее все сделал согласно вышеуказанным рекомендациям.

карантин еще раз отправьте, т к не вижу его в ящике

карантин еще раз отправьте, т к не вижу его в ящике »
Повторил.

и еще на почту quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме

по поиску АВЗ: отметьте все пункты (ПКМ по списку - выбрать все) и нажмите "удалить"

Из найденного MBAM удалите только это:

Обнаруженные ключи в реестре: 8
HKCR\CLSID\{33119133-0854-469d-807A-171568457991} (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKCR\VideoDownloadConverter_4z.SkinLauncherSettings.1 (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKCR\VideoDownloadConverter_4z.SkinLauncherSettings (PUP.Optional.FunWebProducts.A) -> Действие не было предпринято.
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.

Объекты реестра обнаружены: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.

Обнаруженные папки: 2
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\WINDOWS\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы: 38
C:\Documents and Settings\Andrey\Setup.exe (Trojan.Agent) -> Действие не было предпринято.

D:\Install\!Стройтехнорм_v5\SD_5_LAN_KEYGEN_INT_271\SD5Keygen.exe
D:\Install\Winamp Pro v 5.622 Build 3189 Final\KeyGen by\tRUE\tRUE's.KeyGen.exe
от этого лучше избавиться

в остальном нормально. проблема решена?

День добрый. По поиску AVZ- удалил все записи и всё, конец, винда загружается появляется рабочий стол без ярлыков и всё, ничего больше не работает. Восстановление системы не помогает. Почему, черт возьми, копию реестра не сделал? Как быть дальше не подскажите?

нужно запустить проводник.

1 способ

нажмите ctrl -alt - del, откроется диспетчер задач в строку "новая задача" введите "explorer.exe" нажмите enter

2. способ, если первый не поможет:

нажмите клавиши Windows + U, потом кнопку "справка". в следующем окне кликните по верхнему левому углу, в контекстном меню выберите пункт "перейти по адресу". запустится браузер IE. в адресной строке впишите C:\windows\explorer.exe

запустится проводник, появится рабочий стол. как сделаете, отпишитесь

Не совсем наверное я правильно изъяснился. Комп вроде загрузился, но не реагирует ни на какую комбинацию ни клавиш ни мыши-жмешь и ничего не происходит, то есть вызвать диспетчер не представляется возможным. На экране только пустые обои да мышка. Безопасный режим работает нормально. Из него пробовал восстановить систему-все тщетно. Видать что-то лишнего в реестре удалил. Комп рабочий, доступ к нему будет только в пятницу. В AVZ случаем нету функции отката?

все удаленное можно и вернуть, только это вебальта и она на запуск проводника влиять не должна (удаляем ее так постоянно).

если точки восстановления есть, восстановить реестр можно вручную.

но сначала так: попробуйте создать из безопасного режима новую учетную запись пользователя, запустите ее в нормальном режиме, посмотрите,как она загрузится

Спасибо, буду пробовать. Есть еще один нюанс о котором я забыл упомянуть- после удаления ключей реестра по истечении некоторого времени перезагрузил, во время следующей загрузки погас свет и после этого уже не запускался. Не знаю могло ли это повлиять? Если да, то как действовать в этом случае? Да, для начала попробую конечно трюк с новой учетной записью.
П.С.: точка восстановления есть одна единственная, которую сделал согасно инструкции перед первым запуском AVZ, то есть предлечебное, вирусное состояние.

вероятнее всего это и повлияло, т к к вебальта никакого отношения к загрузке не имеет.

тогда из безопасного режима нужно запустить проверку на целостность системных файлов - в командной строке: sfc.exe /scannow

понадобится диск с дистрибутивом winXP

Как говорится без меня меня женили. В общем во время моего временного отсутствия мне переустановили винду :( - проблема решались естественным образом. Спасибо большое за оказанную помощь. Хороший вы человек, Katharsis,

Утро доброе. Опять я к вам с аналогичной проблемой. Вроде и NOD32 стоит и постоянно обновляется, ан нет, вот-вот да и пропустит что-нибудь.
Прилагаю архив, созданный автологгером. Буду надеяться на вашу помощь снова.

Up! Помогите, уважаемые форумчане.

cyber_mhn, из за отсутствия свободного времени и по причине доступа на форум преимущественно с телефона, я не смогу вам ответить. Надеюсь, это сделают другие консультанты.

Для новой проблемы лучше создавать новую тему

cyber_mhn, Это тот же компьютер или другой?

Да, компьютер тот же. Что касается новой темы, то не вижу смысла, так как проблема абсолютно идентична.
Что изменилось - при прогоне системного диска NOD обнаружил и поместил в карантин: C:\WINDOWS\system32\CPLDAPU\ProduKey.exe, C:\WINDOWS\system32\cmdow.exe и C:\Program Files\DAEMON Tools Pro\DAEMON.TOOLS.PRO.PATCH.EXE.

Скорее всего - ложное срабатывание. Можете сами проверить:

Проверьте эти файлы на virustotal (http://www.virustotal.com/index.html)
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата .