Avast WEBforum
Non-English Zone => Русский => Topic started by: anihabib on June 22, 2013, 04:42:45 PM
-
Здравствуйте!
Аваст выдал сообщение о вирусе. Сразу просканировала Авастом компьютер, однако он не нашел ни одной угрозы. Теперь при входе на сайт Аваст выдает:
Детали заражения
URL: http://ssl.gstatic.com/gb/js/sem_257a6aefd221b4d27289bc2258dc4da4.js
Процесс: C:\Program Files\Mozilla Firefox\firefox.exe
Инфекция: URL:Mal
Подскажите пожалуйста, как решить эту проблему? :( Я очень плохо разбираюсь в этом и надеюсь на вашу помощь!
Я прочла старый topic: http://forum.avast.com/index.php?topic=125572.0 и уже скачала OTL. подскажите что делать дальше.
Заранее большое спасибо!
-Ani
-
Детали заражения
URL: http://ssl.gstatic.com/gb/js/sem_257a6aefd221b4d27289bc2258dc4da4.js
Процесс: C:\Program Files\Mozilla Firefox\firefox.exe
Инфекция: URL:Mal
Готово:
-
URL:Mal вирус
-
кто-нибудь помогите пожалуйста..
-
anihabib,запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
После перезагрузки сообщите, появляются ли сообщения о блокировке от антивируса
-
Детали заражения почему-то изменились..
После открытия Google :.
URL: http://ssl.gstatic.com/gb/images/k1_a31af7ac.png также: http://ssl.gstatic.com/inputtools/js/kbd/tr_q.js ,
http://www.gstatic.com/inputtools/images/tia.png, http://www.gstatic.com/swiffy/v5.1.1/runtime.js, http://p4-azkqsb2ygn4su-uchpq6cjl7e3t6ll-if-v6exp3-v4.metric.gstatic.com/v6exp3/redir.html , http://www.gstatic.com/bg/VPDtzeEv8kv9qLFMqs490uaxzsWPIRqE341Cbb2SAI8.js ..
Процесс: C:\Program Files\Mozilla Firefox\firefox.exe
Инфекция: URL:Mal
в папке "C:\_OTL\MovedFiles" нашла вот это, судя по дате, последний! :.
-
вот этот текст:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: NB
->Temp folder emptied: 807 bytes
->Temporary Internet Files folder emptied: 1096062 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3223144 bytes
->Flash cache emptied: 291 bytes
User: Public
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 10444541 bytes
Total Files Cleaned = 14,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 06222013_235323
Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
пока все без изменений..
-
anihabib , скачайте AdwCleaner здесь (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) на рабочий стол
запустите AdwCleaner и нажмите Delete
(https://dl.dropbox.com/u/73555776/AdwCleaner.GIF)
После выполнения дайте согласие на перезагрузку.
После перезагрузки будет создан отчет, который прикрепите в следующем сообщении
-
(ПО) — стоит не на русском..
adwcleaner отчет:
-
..также скачала TDSSKiller , я просто не очень умею всем этим пользоваться..
TDSSKiller обнаружил suspicious objects!
(http://oi44.tinypic.com/r0nuyo.jpg)
Не знаю что сделать, нужно ли удалять их или просто взять на карантин?
TDSSKiller отчет:
-
anihabib, как я понимаю, проблема не решена. Ваша система на турецком языке, это правильно? Блокировка происходит только при переходе на сайт google?
-
Andrey,pro, очень приятно, что вы отозвались помочь мне. (:
Блокировка происходила не только при переходе на сайт google, но и при переходе на некоторые русские и другие сайты. Да, система на турецком языке.
Я все таки решила попробовать взять suspicious objects на карантин с помощью TDSSKiller.. после чего сообщений о вирусе не последовало ни на одном открытом прежде сайте. А также я следовала всем вашим рекомендациям. Очень надеюсь, что AdwCleaner удалил все ненужное. Подскажите стоит ли удалять suspicious objects с помощью TDSSKiller или оставить все как есть?
Уже достаточно долгое время Аваст не выдает никаких сообщений о вирусе Mal!
Спасибо вам большое, что уделили внимание моей проблеме..
С уважением, Ani.
-
anihabib, среди того, что нашел касперский, не вижу ничего вредоносного, подозрительными они считаются из-за того, что не имеют цифровой подписи.
-
Ясно. Все работает исправно, cпасибо. ))
-
Ребята не хочу новую тему создавать но, не могу понять.... На официальной странице аваста http://www.avast.ru/faq.php начинает кричать антивирус
URL: http://stats.g.doubleclick.net/dc.js
Процесс: C:\Program Files (x86)\Google\Chrome\App...
Инфекция: URL:Mal
почему так происходит?
-
Перешёл по указанной Вами ссылке http://www.avast.ru/faq.php - АВАСТ угроз не обнаружил.
Также ничего не обнаружено и при on-line сканировании https://www.virustotal.com/ru/url/25c97a14fb3bc4b335dec49f62027776e1cd75c46fb18427cd6b85671cca6957/analysis/1372573779/
-
Это значит,что компьютер заражён
-
Это значит,что компьютер заражён
Да, вполне вероятна переадресация на "поддельные" сайты.
-
Перешёл по указанной Вами ссылке http://www.avast.ru/faq.php - АВАСТ угроз не обнаружил.
Также ничего не обнаружено и при on-line сканировании https://www.virustotal.com/ru/url/25c97a14fb3bc4b335dec49f62027776e1cd75c46fb18427cd6b85671cca6957/analysis/1372573779/
это понятно что официальный сайт не заражен но почему мне об этом сам аваст говорит? что делать и куда обратится?
-
Перешёл по указанной Вами ссылке http://www.avast.ru/faq.php - АВАСТ угроз не обнаружил.
Также ничего не обнаружено и при on-line сканировании https://www.virustotal.com/ru/url/25c97a14fb3bc4b335dec49f62027776e1cd75c46fb18427cd6b85671cca6957/analysis/1372573779/
это понятно что официальный сайт не заражен но почему мне об этом сам аваст говорит? что делать и куда обратится?
подождите,пока на форум не заглянет Andrey pro,он специалист в этих делах
-
окей, я еще в тех поддержку аваст написал. Будем ждать. Мне кажется это связанно с самим браузером. Кстати если ввести url без http то мне выбивает код этой ссылки на что кричит аваст stats.g.doubleclick.net/dc.js вот пару строк этого кода
(function(){var aa=encodeURIComponent,ba=Infinity,ca=setTimeout,da=isNaN,l=Math,ea=decodeURIComponent;function ha(a,b){return a.name=b}
var m="push",ia="test",ja="slice",p="replace",ka="load",la="floor",ma="charAt",na="value",q="indexOf",oa="match",pa="port",qa="createElement",ra="path",r="name",g="getTime",u="host",v="toString",w="length",x="prototype",sa="clientWidth",y="split",ta="stopPropagation",ua="scope",z="location",va="search",A="protocol",wa="clientHeight",xa="href",B="substring",ya="apply",za="navigator",C="join",D="toLowerCase",E;function Aa(a,b){switch(b){case 0:return""+a;case 1:return 1*a;case 2:return!!a;case 3:return 1E3*a}return a}function Ba(a){return"function"==typeof a}function Ca(a){return void 0!=a&&-1<(a.constructor+"")[q]("String")}function F(a,b){return void 0==a||"-"==a&&!b||""==a}function Da(a){if(!a||""==a)return"";for(;a&&-1<" \n\r\t"[q](a[ma](0));)a=a[B](1);for(;a&&-1<" \n\r\t"[q](a[ma](a[w]-1));)a=a[B](0,a[w]-1);return a}function Ea(){return l.round(2147483647*l.random())}function Fa(){}
function G(a,b){if(aa instanceof Function)return b?encodeURI(a):aa(a);H(68);return escape(a)}function I(a){a=a[y]("+")[C](" ");if(ea instanceof Function)try{return ea(a)}catch(b){H(17)}else H(68);return unescape(a)}var Ga=function(a,b,c,d){a.addEventListener?a.addEventListener(b,c,!!d):a.attachEvent&&a.attachEvent("on"+b,c)},Ha=function(a,b,c,d){a.removeEventListener?a.removeEventListener(b,c,!!d):a.detachEvent&&a.detachEvent("on"+b,c)};
-
я видел на Firefox ;)
-
Saintly, подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
-
aswmbr не смог загрузить(файл лога видит сама программа но в компе её нету) но там всё нормально, авастом ночью делал проверку он нашел 9 вирусов которые из которых 3 я хотел оставить но они тоже исчезли( хотя должны были быть в карантине, их там тоже нету) на картинке видно какие файлы я хотел оставить так как это не опасные файлы.
Еще был удален один вирус когда я не мог норм просканировать систему, заходил сегодня на сайт аваста где мне выбивало вирус теперь всё нормально (прошелся по многим страницам).
Теперь хочется знать насколько велика была угроза и есть ли она теперь?
-
вот еще тот самый вирус который был удален, сейчас на быстрое сканирование аваст больше не находит угроз, кстати полную проверку(где нашлись 9 вирусов) я делал "при загрузке ОС"
П.С. все эти файлы попали по моему благу, тоесть я их пустил, такие как фифа и xvm, все приложения запускаются только через пароль админа так я для безопасности создал вторую учетную запись.
-
Saintly, по логам ничего подозрительного не заметил. Среди того, что нашел аваст многие являются ПНП (потенциально нежелательные программы), потому что это взлом игр и программ.