http://earthmobile.ru/ и реклама слева в браузерах
 

Добрый день!
Прошу вас помочь убрать рекламу слева в браузерах и самопроизвольного открытия окна на сайт http://earthmobile.ru/.

Пофиксить в HijackThis следующие строчки:
Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или
Очистите кэш DNS: в командной строке выполните
Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

ПЕРЕЗАГРУЗКА!

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

и отписываемся о проблеме

Всё выполнил. Проблема решена. Спасибо!
Но поиск нашел в реестре "webalta".

повторите поиск и удалите все найденные ключи.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
----------------------------------------------------------

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом разделе форума поддержки утилиты.

Поиск повторил и удалил ключи.

Лог Malwarebytes' Anti-Malware прикладываю.

SecurityCheck by glax24:
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 02.04.2013 13:02:36
Program directory: C:\Users\Евгений\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.6
Диск C:\ ФС: NTFS Емкость: (223 Гб) Занято: (28.2 Гб) Свободно: (194.8 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 27.10.2010 08:21:41
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-21 12:15:45
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
Антивирус Касперского
Антивирус обновлен
Microsoft Security Essentials
Сканирование отключено
-------------Firewall_WMI-------------------------
Антивирус Касперского
-------------AntiSpyware_WMI----------------------
Windows Defender
Антивирус Касперского
Microsoft Security Essentials
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.2.223.1
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
Spybot - Search & Destroy v.1.6.2
-------------Java---------------------------------
Java(TM) 6 Update 26 v.6.0.260 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.180
Adobe Flash Player 11 Plugin v.11.6.602.180
Adobe Reader X (10.1.6) - Russian v.10.1.6 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.14 v.12.14.1738
Google Chrome v.26.0.1410.43
-------------EndLog-------------------------------


На данный момент:
Реклама слева в браузерах всплывает.
Самопроизвольного открытия окна на сайт http://earthmobile.ru/ больше нет.

сделайте новый лог HijackThis

в Мвам удалить найденное

обновиться по ссылкам из SecurityCheck by glax24

Всё сделал.

ок, повторяем заново

Пофиксить в HijackThis следующие строчки:
Если после этого пропадет интернет, тогда откройте ваше сетевое подключение в свойствах протокола TCP/IPv4 пропишите адреса DNS-серверов своего провайдера или
Очистите кэш DNS: в командной строке выполните
Почистите браузеры с помощью AVZ

Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы, отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

не забудьте перезагрузить компьютер

Повторил.
Первые пару минут всё было в порядке. Перезагрузил браузер. Реклама вернулась... всплывающее окно http://earthmobile.ru тоже....

аха.. капаем глубже

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

5. Подробнее читайте в руководстве Как подготовить лог UVS

а вы только браузер перегружали или пк весь?

Лог Universal Virus Sniffer (uVS).

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ---

   ;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

setdns Подключение по локальной сети\4\{9B91B78B-6C7C-4467-A542-2501D0132F5F}\
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
EXEC cmd /c"ipconfig /flushdns"
restart

   ---

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. Подробнее читайте в этом руководстве.

Выложите новый лог uVS

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

почистить кэш и куки браузеров и отписаться о проблеме

Всё сделал.
Проблема не решена...
В отчетах HijackThis опять всплывает адрес 80.82.209.180.

пофиксите эти строки с адресом 80.82.209.180 через HijackThis
как подключаетесь к интернету?
1)если через роутер, сбросьте его настройки, введите сложный пароль
Чтобы вернуть интернет впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподержку).
2)если подключение идет через щлюз, то первоначально сменить надо настройки в нем
пуск - панель управления ---центр управления сетями и общим доступом -изменение параметров адаптера. Изменяете настройки на настройки провайдера

куки и кэш чистили? Очистите куки и кэш браузеров, кэш Java

Подключение идет напрямую, ip, шлюз и т.д. прописываются вручную.
80.82.209.180 - и есть наш ДНС провайдера.

Куки и кэш чистил.

вы из Германии ?

вы серьезно хотите сказать, что ваш провайдер раздает троянские номера? то бишь, вы сами сейчас вводите их опять в настройки, я правильно понимаю?

Да, вышел курьёз.
С проблемой боролся удалённо и вирусный ДНС принял за ДНС провайдера...
Исправил. Теперь всё в порядке.
Благодарю!