Avast WEBforum
Non-English Zone => Русский => Topic started by: mix30 on July 06, 2013, 10:06:19 AM
-
День добрый, как я понимаю, тема не нова. вот и у меня после "Контакта" появилась эта проблема.
При запуске "Опера" выходит сообщение:
Вредоносный URL-Адрес Заблокирован
обьект: http:/.../?c=operaa=stdi=13726 ......
Заражение: URL: Mal
Процесс: C: \ Program Files \ Опера \ opera.exe
avastом сканирование ничего не дало,
после установки Malwarebytes Anti-Malware постоянно выходит сообщение:
Была предотвращена попытка доступа к вредоносному веб-сайту: ......
Тип: исходящие
Все Логи Сделал, помогите решить проблему. Заранее спасибо.
-
@ mix30
- Can you follow English instructions?
- Mozes li pratiti instrukcije na Srpskom?
- Можеѕ ли пратити инструкције на Српском?
-
о каких инструкциях речь?
-
mix30
Можете не обращать внимания. Пользователь magna86 - специалист по удалению зловредов, но он из Сербии и поэтому спрашивает, можете ли Вы выполнить его инструкции по решению Вашей проблемы, но на английском или сербском языке. Если язык Вы знаете, то можете и выполнить его инструкции, но у нас есть тут отличный русский специалист - Andrey,pro. Можете его подождать.
magna86
Thank you but don't you know we have a good Russian-speaking specialist Andrey,pro?
-
в принципе у меня Chrome всё переводит, приму любую помощь, спасибо
-
в принципе у меня Chrome всё переводит, приму любую помощь, спасибо
Как хотите.
magna86
He can take your help, but will use an automatic translation.
-
Thank you but don't you know we have a good Russian-speaking specialist Andrey,pro?
Of course I know, that's why I asked the user did he understand English (or perhaps understand Serbian) but apparently not.
I will report this to Andrey.
P.S: I understand Russian language ( i have ability of reading and understanding ) just can't write in Russian.
-
mix30, здравствуйте!
1. Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=286&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2379367642404730&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/406
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?
[2012.11.05 13:39:20 | 000,000,000 | ---D | M] (DataMngr) -- C:\PROGRAM FILES\SEARCH RESULTS TOOLBAR\DATAMNGR\FIREFOXEXTENSION
[2012.11.05 13:39:11 | 000,002,687 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
CHR - default_search_provider: search_url = http://dts.search-results.com/sr?src=crb&gct=ds&appid=286&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2379367642404730&q={searchTerms}
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O2 - BHO: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} - C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC)
O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} - C:\Program Files\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (APN LLC)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Search Results Toolbar\Datamngr\datamngr.dll (Bandoo Media Inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files\Search Results Toolbar\Datamngr\IEBHO.dll (Bandoo Media Inc)
@Alternate Data Stream - 48 bytes -> C:\WINDOWS:A2CB26E19D6DD96D
:Files
C:\Documents and Settings\User\Application Data\searchresultstb
C:\Documents and Settings\User\Application Data\ilividtoolbarguid
:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
2. После выполнения скрипта и перезагрузки скачайте утилиту Junkware Removal Tool: http://thisisudax.org/downloads/JRT.exe
Запустите программу от имени администратора. Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool работает на вашей системе, так что вам не придется беспокоиться о них. Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.
-
День добрый Andrey,pro.
в настройках OTL менять что нибудь нужно?
сколько времени должно пройти до перезагрузки?
запускаю OTL, всё зависает, внизу надпись: Killing processes. DO NOT INTERRUPT...
Часа полтора уже...
-
до сих пор висит...
-
Reboot the computer and re-try.
Рестартуј компјутер па пробај поново.
-
пробовал 3 раза уже...
-
Перезагрузите компьютер,попробуйте снова.
-
пробовал 3 раза уже...
Может имеется ввиду вся процедура с самого начала?
-
пробовал 3 раза уже...
Даже "горячая перезагрузка" не работает? Если у Вас десктоп, то на системном блоке, где-то рядом с кнопкой включения, есть небольшая кнопка с надписью Reset - нажмите и комп перезагрузится. Если у Вас ноутбук, то это зависит от его модели: у некоторых снизу имеется небольшое отверстие, куда надо вставить что-то металлическое и он выключится, тогда можно опять его включить; в других моделях нужно просто долго жать на кнопку включения.
-
пробовал через Reset, папка "C: \ _OTL \ MovedFiles" пустая...
-
mix30,
1. скачайте утилиту Trend micro HijackThis: http://sourceforge.net/projects/hjt/files/latest/download
2. запустите программу и нажмите 'Do a system scan and save a logfile'
3. утилита произведет сканирование, по окончанию которого запустится Блокнот, сохраните его и прикрепите в следующем сообщении
-
готово
-
поставьте галочки напротив:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sindex.biz/?company=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/406
O2 - BHO: Search-Results Toolbar - {f34c9277-6577-4dff-b2d7-7d58092f272f} - C:\PROGRA~1\SEARCH~1\Datamngr\SRTOOL~1\searchresultsDx.dll
O20 - AppInit_DLLs: C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll
и нажмите кнопку Fix checked.
2. После выполнения перезагрузите компьютер и скачайте утилиту Junkware Removal Tool: http://thisisudax.org/downloads/JRT.exe
Запустите программу от имени администратора. Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool работает на вашей системе, так что вам не придется беспокоиться о них. Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.
-
все бы ничего, да вот с паролем админа проблема...
-
хорошо, попробуйте запустить не от имени администратора
-
готово...
-
при запуске оперы аваст больше не выдает предупреждения о блокировке вредоносного сайта?
-
выдаёт, и не по разу...
-
можете, пожалуйста, сделать скриншот, когда аваст будет блокировать вредоносный URL?
Попробуйте запустить снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
-
Вечер добрый Андрей, про, так и не удалось избавиться от заразы, да ещё в командировку уехал,
сделал новые логи, очень надеюсь на вашу помощь...
-
- проверьте эти файлы на вирустотал (https://www.virustotal.com/ru/):
C:\WINDOWS\System32\getpntid.exe
C:\WINDOWS\system32\spd__l3.dll
- что находится в папках C:\Program Files\smwdgt , C:\Documents and Settings\User\Application Data\smwdgt и C:\Documents and Settings\All Users\Application Data\vsosdk ? В них есть исполняемые файлы (с расширением *.exe) ?
- Скачайте утилиту Kaspersky TDSSKiller: http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe . Нажмите начать проверку, все, что будет найдено пробуйте лечить, если лечение невозможно, то ничего не предпринимайте. Прикрепите отчет в следующем сообщении.
- Удалите все, что нашел Malwarebytes anti-malware.
-
что делать с анализом от вирустотал?
в папках C:\Program Files\smwdgt есть unins000.exe, в других всяка хрень, в том числе подмигивающий смайл.
Kaspersky TDSSKiller ничего не обнаружил.
Malwarebytes anti-malware опять поймал 5 ключей.(удалил)
-
приведите ссылку на результаты сканирования с вирустотал
запакуйте папку C:\Program Files\smwdgt в архив и залейте на какой-нибудь файлообменник, например http://rghost.ru/ и укажите ссылку на загрузку файла.
-
1. https://www.virustotal.com/ru/file/f64f1f11220361f5837383a5d4ba342998f8f60831dda31f565a756423f2b7c4/analysis/1373817453/
2. http://files.mail.ru/B955A8185E2A4B5EBC91733A769D2BD8
3. скриншот угрозы, на всякий случай...
-
проверьте еще этот файл на вирустотал:
C:\WINDOWS\system32\spd__l3.dll
-
https://www.virustotal.com/ru/file/7f6d35aa78202e023af0cd6f9adefcc534b2dcd79b80564c78f81d23bca4a8c1/analysis/1373820662/
-
Я обнаружил проблему, чтобы ее решить загрузитесь в безопасном режиме.
запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
@Alternate Data Stream - 48 bytes -> C:\WINDOWS:A2CB26E19D6DD96D
:Files
C:\Documents and Settings\User\Application Data\smwdgt
C:\Program Files\smwdgt
C:\Documents and Settings\User\Application Data\smw_inst
:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
-
Андрей, OldTimer. запускать с настройками по умолчанию, или как в инструкции(когда все логи делаются)?
-
по умолчанию, при выполнении скрипта они не нужны
-
вечер добрый, хрень какая-то творится, при запуске в безопасном режиме начинается установка винды, без вариантов...
-
есть другой вариант: перейдите в папку C:\Program Files\smwdgt и запустите файл unins000.exe
Предварительно, можете, пожалуйста, для меня заархивировать папки C:\Documents and Settings\User\Application Data\smw_inst
C:\Documents and Settings\User\Application Data\smwdgt
И залить на какой-нибудь файлообменник.
-
http://files.mail.ru/5973F68287F84A27B516ED23AE92B192
http://files.mail.ru/F6E426C47A5D4C0595F52497700A00BA
только: C: \ Documents и Settings \ User \ Application Data \ smw_inst - отдельный файл, если это важно...
-
cпасибо за файлы, это как раз то самое расширение Smiles
теперь перейдите в папку C:\Program Files\smwdgt и запустите файл unins000.exe , если после удаления останутся папки
C:\Documents and Settings\User\Application Data\smw_inst
C:\Documents and Settings\User\Application Data\smwdgt
то удалите их вручную
-
вот что произошло после запуска unins000.exe: дважды АВАСТ предупредил о небезопастности, запускал программу в песочнице, потм закрылся Chrom, и выскочила угроза, скрин прилагаю...
-
тогда вручную просто удалите эти папки:
C:\Program Files\smwdgt
C:\Documents and Settings\User\Application Data\smw_inst
C:\Documents and Settings\User\Application Data\smwdgt
-
остался только C: \ Documents и Settings \ User \ Application Data \ smw_inst
а C: \ Program Files \ smwdgt оставить?
-
удалите и C:\Program Files\smwdgt и C:\Documents и Settings\User\Application Data\smw_inst
-
готово, какой должен быть эффект?
Operу запускал, без изменений...
-
мне кажется, что во всем виновато это расширение, попробуйте провести поиск по названию: SmilesExtensions или просто Smiles или smwdgt. Что-нибудь будет найдено? Также почистите компьютер программой Ccleaner: http://www.piriform.com/ccleaner/download/standard
по логу заметил, что прописывается в опере:
C : \ D o c u m e n t s a n d S e t t i n g s \ U s e r \ L o c a l S e t t i n g s \ A p p l i c a t i o n D a t a \ O p e r a \ O p e r a \ w i d g e t s \ e x t e n s i o n . o e x
Еще попробуйте поискать по этому имени: likeapp@ip-stream.net
-
удалил C : \ D o c u m e n t s a n d S e t t i n g s \ U s e r \ L o c a l S e t t i n g s \ A p p l i c a t i o n D a t a \ O p e r a \ O p e r a \ w i d g e t s \ e x t e n s i o n . o e x
и
C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\widgets\avast! WebRep.oex
вроде всё прошло, утром контрольный пуск...
-
восстановите C:\Documents and Settings\User\Local Settings\Application Data\Opera\Opera\widgets\avast! WebRep.oex - это аваст webRep-он безопасен.
Пришлите еще свой файл widgets.dat, он должен быть в папке Opera, это расширение прописало себя везде, куда только можно
Еще поищите, должно быть:
S o f t w a r e \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ U n i n s t a l l \ S m i l e s E x t e n s i o n s
-
1. предупреждение об угрозе не появляется, но постоянно выскакивает сообщение от Malware
2. находит следующее:
3. что делать с найденным?
-
В отчете malwarebytes anti-malware можете где-нибудь найти, что выходит в интернет в Молдавию? Почистите компьютер утилитой Ccleaner, наверняка что-то во временных папках, если не поможет, то подготовьте новый лог OTL
Еще хочу уточнить: сообщение от malwarebytes появляется только при запуске оперы?
Файл widgets.dat находится в
C:\Users\имя_пользователя\AppData\Roaming\Opera\Opera\profile\widgets\
-
сообщение от malwarebytes появляется с периодичностью 0,5-15 сек., после включения компа...
цифирки в сообщении постоянно разные.
-
подготовьте новые логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.
-
готово...
-
Скачайте программу TFC by OldTimer (http://oldtimer.geekstogo.com/TFC.exe) на рабочий стол.
- Временно отключите malwarebytes.
- Дважды щелкните по значку TFC.exe для запуска. (Примечание: если Вы запускаете программу на ОС Vista и выше, то запустите программу от имени администратора).
- При запуске утилита закроет все запущенные программы, поэтому перед запуском убедитесь, что вы сохранили все несохраненные данные, над которыми Вы работали.
- Нажмите кнопку Start для начала процесса. В зависимости от того, как часто вы чистите временные файлы, время выполнения может быть от нескольких секунд до минуты или двух. Дождитесь завершения работы программы.
- Как только программа завершит работу, компьютер должен автоматически перезагрузиться. Если этого не произойдет, пожалуйста, вручную перезагрузите компьютер для полной очистки.
-
Андрей, я понимаю, что уже достал Вас с этой заразой, но каков ожидаемый результат?
сообщения от malwarebytes появляются так же как и раньше...
-
Ожидаемый результат, что сообщения от MBAM исчезнут :)
Давайте попробуем ComboFix.
Скачайте ComboFix :
Ссылка 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Ссылка 2 (http://www.forospyware.com/sUBs/ComboFix.exe)
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
* ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь (http://forums.whatthetech.com/How_Disable_your_Security_Programs_t96260.html&pid=494216#entry494216)
- Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
- Примите соглашение и согласитесь на обновление, если программа попросит об этом
(http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png)
(http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png)
- После окончания, будет произведен отчет.
- Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.
Примечания:
1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения
Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.
-
комп перезагрузился, а вот отчёт я не нахожу...
-
перезагрузите компьютер еще раз и проверьте, в корне диска C должен появиться файл ComboFix.txt
Вы выходите в интернет через роутер?
-
да, и ComboFix.txt не появился...
-
mix30, сбросьте настройки роутера к заводским.
-
кнопку "сброс" достаточно нажать?
эффекта при этом не наблюдается...
-
на роутере должно быть утопленная кнопка, на которую нужно надавить чем-то и подержать в течение 5-10 секунд, если это сделали, то у меня больше нет идей...
-
на роутере должно быть утопленная кнопка, на которую нужно надавить чем-то и подержать в течение 5-10 секунд, если это сделали, то у меня больше нет идей...
Держать 5-10 сек не надо!
Я делал так-брал спичку и нажимал внутрь и сразу отпускал.Задержка на секунду!Все настройки роутера сбрасывались.А вообще в роутере есть сохранение настроек в виде zip-файла.Я когда делал регулировку,то сохранял таким способом настройки.Можно роутер отключить на 10-20 сек,а потом включить.В них иногда происходят ****.
-
Андрей, в любом случае спасибо, при запуске OPERA больше сообщение об угрозе не выходит, а срок действия Malwarebytes завтра заканчивается и соответственно сообщения от него тоже исчезнут :( , спасибо и удачи...
-
Андрей, в любом случае спасибо, при запуске OPERA больше сообщение об угрозе не выходит, а срок действия Malwarebytes завтра заканчивается и соответственно сообщения от него тоже исчезнут :( , спасибо и удачи...
Вы поменьше обращайте внимание на Malwarebytes! У меня тоже он ругается на кучу сайтов,некоторые вообще блокирует,где есть видеоплеер или реклама неопасная.Приходится включать эти IP-адреса в исключения. Потом мне это надоело и я вообще его отключил: использую его чисто как сканер.Отключите защитник и не заморачивайтесь.
-
Отключите защитник и не заморачивайтесь.
Защитник (если так уж хочется) можно оставить, но отключить "блокировку вредоносных веб сайтов". Достаточно авастовских веб и сетевых экранов..
Сам использую м\в только в качестве сканера по требованию.
-
Отключите защитник и не заморачивайтесь.
Защитник (если так уж хочется) можно оставить, но отключить "блокировку вредоносных веб сайтов". Достаточно авастовских веб и сетевых экранов..
Сам использую м\в только в качестве сканера по требованию.
И правильно,а то этот Malwarebytes нормально не даёт серфить по давно уже проверенным и нормальным сайтам. Просто неадекват какой-то!