Avast WEBforum

Non-English Zone => Русский => Topic started by: Ponchuk_3d on August 15, 2013, 06:27:31 AM

Title: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Ponchuk_3d on August 15, 2013, 06:27:31 AM
Здравствуйте. Такая проблема - при открытии браузера (любого) всплывает сообщение от Avast! о блокировке вредоносного URL-Адреса
Детали заражения
URL:   http:*//lexmarktheres.biz/?c
Процесс:   C:\WINDOWS\system32\SHELL32.dll
Инфекция:   URL:Mal

Помогите!
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: _George_ on August 15, 2013, 06:47:40 AM
Подготовьте логи, согласно ссылки: http://forum.avast.com/index.php?topic=130898.0
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: sergofun on August 15, 2013, 07:53:26 AM
Ponchuk_3d, чтобы никто нечаянно не нажал не заразил свой ПК по Вашей вине, удалите ссылку из сообщения. Приведите ее к некликабельному виду, например так: хттп://lexmarktheres.biz/?c
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Ponchuk_3d on August 15, 2013, 08:03:06 AM
Вот
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Andrey,pro on August 15, 2013, 08:19:13 AM
Ponchuk_3d, залейте на какой-нибудь файлообменик (например, http://rghost.ru/ ) содержимое папки C:\Program Files\smwdgt и укажите ссылку на загрузку файла в следующем сообщении.

P.s Это ваше?
Code: [Select]
C:\WINDOWS\tasks\Резервная копия реестра.job
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Ponchuk_3d on August 15, 2013, 08:32:22 AM
да
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Ponchuk_3d on August 15, 2013, 08:35:40 AM
http://rusfolder.com/37618120
http://rusfolder.com/37618121
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Andrey,pro on August 15, 2013, 09:57:49 AM
Ponchuk_3d, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]
:OTL
IE - HKU\S-1-5-21-507921405-1500820517-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq
[2013.08.15 01:00:42 | 000,000,000 | ---D | M] (System Security Application) -- C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\qnhwy8bp.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5}
[2013.08.15 00:59:04 | 000,000,000 | ---D | M] (ExSmile v13.8.14) -- C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\qnhwy8bp.default\extensions\itapp@smile-life.ua
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url =
CHR - default_search_provider: suggest_url =
O4 - Startup: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Schedule Games Browser.lnk =  File not found
O4 - Startup: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Zaxar Games Browser.lnk =  File not found
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5CA670B8
@Alternate Data Stream - 122 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:44504F07

:Files
C:\Documents and Settings\Admin\Application Data\smw_inst
C:\Documents and Settings\Admin\Application Data\closer.exe
C:\Documents and Settings\Admin\Application Data\smwdgt
C:\Program Files\smwdgt
C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\widgets\extension.oex

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

После выполнения скрипта и перезагрузки залейте на файлообменик папку C:\_OTL\MovedFiles и укажите ссылку на загрузку файла в следующем сообщении. Сообщите, как ведет себя компьютер, появляются ли сообщения от аваст о блокировке вредоносного URL-адреса.
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Ponchuk_3d on August 15, 2013, 10:40:32 AM
После нажатия "Run Fix", программа OTL by OldTimer зависает
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Andrey,pro on August 15, 2013, 10:45:58 AM
Ponchuk_3d, выполните скрипт OTL в безопасном режиме.
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Ponchuk_3d on August 15, 2013, 11:20:46 AM
http://files.mail.ru/31243E45ABFA47018C230EAD563AC652
 
На данный момент сообщения о блокировке пропали.
Вечером отпишусь еще раз, если возникнут проблемы.Спасибо за помощь!
Title: Re: Вредоносный URL-Адрес БЛОКИРОВАН
Post by: Andrey,pro on August 15, 2013, 11:34:08 AM
Да, понаблюдайте, по отчетам сейчас все в порядке.