Avast WEBforum
Non-English Zone => Русский => Topic started by: Galina2013 on November 20, 2013, 06:56:01 PM
-
Добрый вечер! Как и заявлено в теме, аваст у меня не находит вирусы, хотя есть явные симптомы: при попытке пройти по нужным ссылкам каждый 5-6 раз выскакивает посторонняя вкладка с рекламными или "веселыми" страницами. Если не успеваю ее во время закрыть, аваст сообщает, что "вредоносный url заблокирован". Просканировала авастом при загрузке - ничего не нашлось. Просканировала утилитой CureIt от Dr. Web - только 2 файла, заявленные как подозрительные. После их удаления все симптомы остались. Загрузила утилиту Junkware Removal Tool. Файл с отчетом прилагаю. Хотелось бы понять, что обнаружил Junkware Removal Tool и можно ли теперь считать мой компьютер более-менее чистым.
-
Galina2013, здравствуйте и добро пожаловать на форум!
Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме (http://forum.avast.com/index.php?topic=102771.0).
Подготовьте остальные отчеты согласно инструкции: Логи для помощи в очистке компьютера от заражений (http://forum.avast.com/index.php?topic=130898.0):
Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!
-
Тем временем я, как и рекомендовано, загрузила MBAM и просканировала. Отчет прилагаю. Если я правильно поняла отчет МВАМ, там ничего не нашлось. А как насчет JRT? Как мне понимать содержимое первого отчета? Что там было?
-
По отчету JRT: были удалены временные файлы и пустые папки, главным отчетом для анализа зараженной системы является отчет программы OTL by OldTimer
-
Просканировала OTL. Отчеты в приложении. Проблема сохраняется - при переходе по ссылкам грузятся сайты, на которые срабатывает avast и выдает сообщение "вредоносный url заблокирован".
-
- Скачайте прикрепленный файл fix.txt на Рабочий стол
- запустите снова программу OTL by OldTimer и нажмите run fix
- OTL спросит о местонахождении файла fix.txt
- Выберите файл, который Вы загрузили, и снова нажмите run fix.
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
-
All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\eyfaqm9v.default\extensions\jid1-NrmV7T7ypWlEVCuc3X9vMWR3lIM@jetpack.xpi moved successfully.
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\5veygogf.default-1378868447920\extensions\jid1-NrmV7T7ypWlEVCuc3X9vMWR3lIM@jetpack.xpi moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\220.135\195.178\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2955504976-444459841-3993071513-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\\http deleted successfully.
Starting removal of ActiveX control {67DABFBF-D0AB-41FA-9C46-CC0F21721616}
C:\Windows\Downloaded Program Files\DivXPlugin.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: user
->Temp folder emptied: 405564199 bytes
->Temporary Internet Files folder emptied: 887903341 bytes
->FireFox cache emptied: 84562543 bytes
->Google Chrome cache emptied: 20172512 bytes
->Flash cache emptied: 3283554 bytes
User: Все пользователи
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1003852616 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 96868 bytes
RecycleBin emptied: 951505149 bytes
Total Files Cleaned = 3 201,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 11212013_200731
Files\Folders moved on Reboot...
C:\Users\user\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\user\AppData\Local\Temp\~DFD2FFE6BBFCD68ABF.TMP not found!
File\Folder C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS2930.tmp not found!
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
-
Проблема осталась?
-
Пока не знаю. Посижу сегодня вечером и завтра в течение дня. Если что-нибудь опять всплывет - сразу напишу. Если не всплывет - напишу в конце завтрашнего дня, что все в порядке.
-
Добрый вечер, Андрей. Проблема ушла. Страницы грузятся, как на новом компьютере - т.е. быстро и без лишнего мусора. И это радует!!! Маленькая печалька: avast сообщил, что Flash Player и Adobe Air требуют обновления. Обновить не удалось: на сайте производителя либо кнопочка загрузки отжата, либо меня все время выбрасывает на главную страницу. На странице загрузки имеется указание, что мне, возможно, потребуется отключить антивирусную программу. Хорошо бы получить описание этого процесса по пунктам. А вообще спасибо - все очень круто почистилось!
-
Попробуйте загрузить Adobe Flash player с официального сайта: http://get.adobe.com/ru/flashplayer/otherversions/
Необходимо будет выбрать версию Вашей ОС и браузер, для которого необходимо обновить Flash player (IE или др. браузеры).
Примечание: не забудьте убрать галочку с загрузки McAfee Security Scan, если он Вам не нужен.
Если кнопка загрузки будет недоступна, то сделайте, пожалуйста, скриншот.
Adobe Air можно загрузить здесь: http://get.adobe.com/ru/air/
Чтобы отключить антивирус аваст, нажмите правой кнопкой мыши по значку аваст в трее и выберите Управление экранами аваст=>отключить на 10 минут.
-
Тем временем удалось загрузить обе программы из IE и Google Chrome. А из Firefox - никак (хотя это уже чисто спортивный интерес, но все же...). Прилагаю скрин загрузочной страницы ссылки, открытой в Firefox (в остальных браузерах, как уже было сказано, все работает).
-
Попробуйте отключить в firefox дополнение avast! Online Security, дело в том, что слева на сайте должны появиться шаги, после выполнения которых кнопка "загрузить" станет доступной.
-
Да, Андрей, после отключения дополнения кнопка стала доступной. Вот так после приятных упражнений потихоньку осваиваю новую версию avast...
-
Наверное вам стоит установить плагин AdBlock для блокировки рекламы. Чтобы вас не перекидывало на другие страницы. Дело не в вирусах=) Заблокируйте доступ рекламе. Есть AdBlock и AdBlock Plus? оба аналоги хороши собой! Avast! отлично защищает компьютер.
-
Вчера была проверка сканером Malwarebytes Anti-Malware.
Был найден вирус PUM.Hijack.StartMenu в реестре!!!
Есть вирус,который ворует пароли с компьютера.
Это вирус
PUM.Hijack.StartMenu
Про него хорошо написано на этом сайте--
http://forum.ruterk.com/index.php?topic=565.0
Написано где его найти и как в реестре изменить ключи на нормальные.
А так же для борьбы с ним лучше скачать сканер бесплатный с сайта--
http://www.malwarebytes.org/free/
И при его установки не ставить галочку в квадратиках нигде рядом с надписями!
Этот сканер находит этот вирус!
Пожалуйста на всякий пожарный случай проверьте реестр у себя!!
А вот AIS его почему-то не находит!!
-
MBAM определил это как нежелательную программу, но не как не вирус или троян
В Авасте поиск нежелательных программ включен был?
-
Не было там наверняка ни вируса, ни нежелательных программ
ivanovich, как всегда, параноит...
Где по указанной ivanovich ссылке написано, что PUM.Hijack.StartMenu ворует пароли?
И где вообще сам вирус (ни у ivanovich, ни у Southern нет конкретного указание на удалённый объект, ни на конкретные действия зловреда по воровству конфиденциальных данных). И вообще нет никаких намёков на борьбу с вирусом. Описана ситуация с незапускающимся антивирусом, вызванная, судя по дальнейшей информации в сообщении, проблемой с ключевым файлом (лицензией).
А что касается обнаруженных МБАМ изменений в реестре (из данных по ссылке), это штатные режимы стандартных ключей, применяемые для следующих настроек:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> скрыть параметр "Выполнить" в меню " Пуск".
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> скрыть параметр "Помощь" в меню " Пуск".
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> убрать опцию "Выйти из системы" в меню " Пуск".
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Отключение оповещения центра безопасности (Security Center) об отсутствии антивируснй защиты.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Отключение оповещения центра безопасности (Security Center) об отсутствии файрволла
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Отключение оповещения центра безопасности (Security Center) об отключении автоматического обновления
то 99,99% это результат ручного отключения оповещений центра безопасности "на компьютере у бухгалтера" (большинство так называемых "админов" любят эту процедуру), плюс либо баловство с какими-нибудь твикерами- оптимизаторами, либо те же "админы" перемудрили с политиками безопасности - убрали из меню "Пуск" вызов справки, пункты "Выполнить" и "Выйти из системы". На это у них ума хватило, а вникнуть в суть выведенной МБАМ информации по ключам реестра видимо нет...
ИМХО
-
Nikol@y
Вы уж на пенсионера не обижайтесь.
Я человек простой,не подкован как Вы.
Раз MBAM выдал отчёт по этому таракану,я ему и поверил.
Другие сканеры и антивирусник AIS ничего не нашли.
Сейчас MBAM проверил-молчит паразит!
Но,тогда почему Защитник Windows записал в Журнале событий в разделе Журналы приложений и служб-Microsoft-Windows-WindowsDefender-Operation-под кодом 1013 эту запись-
"ЗащитникWindows удалила журнал программы-шпиона или другой потенциально-нежелательной программы ?
Вы можете это явление объяснить ?
Сейчас зашёл в реестр.
HKCU-Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced
Поменял 1 на 0 в ключах --
Start_ShowMyComputer и Start_ShowMyDocs (восстановил как было раньше)
И просканировал опять сканером MBAM.
Прилагаю скрин.На нём видна угроза.
Как вы это можете объяснить?
-
Сейчас зашёл в реестр.
HKCU-Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced
Поменял 1 на 0 в ключах --
Start_ShowMyComputer и Start_ShowMyDocs (восстановил как было раньше)
И просканировал опять сканером MBAM.
Прилагаю скрин.На нём видна угроза.
Как вы это можете объяснить?
Это не угроза. Ещё раз - это штатная настройка меню "Пуск". Которое можно делать как непосредственно редактированием реестра
http://www.oszone.net/10959/start_menu#003
так и с помощью различных твикеров, которые в конечном счете также изменяют эти же параметры реестра.
Однако с изменив значения ключей с "1" на "0", вы скрыли соответствующие пункты меню "Пуск", (в данном случае "Компьютер" и
"Документы"), что не соответствует режиму "по умолчанию" ("заводским, рекомендуемым установкам"), о чём и сообщает МБАМ.
... тогда почему Защитник Windows записал в Журнале событий в разделе Журналы приложений и служб-Microsoft-Windows-WindowsDefender-Operation-под кодом 1013 эту запись-
"ЗащитникWindows удалила журнал программы-шпиона или другой потенциально-нежелательной программы ?
Это вы уж сами анализируйте, что за запись и на что выдал вам защитник. Но в вашем сообщений от 26.12.2013 http://forum.avast.com/index.php?topic=140419.msg1040740#msg1040740
нет и намёка на какие либо действия защитника Windows и я думаю, что это была реакция совсем на другой случай. Можно посмотреть журнал защитника ...
http://www.oszone.net/10961/windows_defender#013
http://windows.microsoft.com/ru-ru/windows-vista/view-or-clear-the-history-in-windows-defender
P.S. Я кстати сам пенсионер, двое внуков уже ... :)
-
Nikol@y
"Есть вирус,который ворует пароли с компьютера.
Это вирус
PUM.Hijack.StartMenu"------
Целый день проверял ноут!
И сканером MBAM быстрая и полная проверки делал.Выдавало сообщение об этом гаде.Проверял дисками вчера до загрузки ОС.Всё перерыл в сети.А потом взял скачал и сдуру запустил сканер DrWebCureIt.И он мне такое напортачил в системе,что роутер не соединял с сайтами,и тормозило систему.Удалил гада и всё без толку!Тогда взял откат сделал на 1-00 ночи!Стал проверять опять сканерами MBAM и Emsisoft.Затем включился Защитник Windows по расписанию и выдал что Чисто!Полез дальше.И только на форуме нашёл истину!
http://www.oszone.net/10959/start_menu
Там в разделе-
Настройка правой панели меню «Пуск»
Нашёл данные раздела этого в реестре.
Стал проверять и реестр и твики реестра.
Оказывается в меню Пуск нужно чтобы раздел Компьютер был там.Тогда в ключе,где MBAM находил гада должна стоять цифра 2 !!А не Единица!И после проверки сканером MBAM -ЧИСТО!!!!!!!!!!!!!!!Всё во мне успокоилось!!!А вот по поводу журнала-Шпиона я сделал следующее:Удалил AdobeReader программой RevoUnistaller-ом на все 99%.Она у меня всегда запускалась в системе,хоть и всё по этому приложению было выключено,даже и в реестре.
Теперь всё в системе спокойно стало.Спасибо за Ваше стойкое внимание!Кстати у меня 2 дочери и сын,внук и внучка.Всего Вам доброго!
-
Оказывается в меню Пуск нужно чтобы раздел Компьютер был там...
Обязательно нужно по мнению МБАМ?
По умолчанию MS его туда и помещает, но мало ли какие предпочтения есть у пользователя. На вкус и цвет... Ведь значок "Компьютер" на рабочем столе по функциональности полностью аналогичен пункту "Компьютер" меню Пуск. Кто-то желает что-то другое поместить в Пуск, а загромождать не хочется.
... .Тогда в ключе,где MBAM находил гада должна стоять цифра 2 !!А не Единица!И после проверки сканером MBAM -ЧИСТО!!!!!!!!!!!!!!!
Ну, вообще-то все три параметра имеют право на жизнь ("0", "1" и "2"). Зависит от предпочтений пользователя.
Цитата с oszone.net:
Также расположением всех этих элементов (меню "Пуск") можно управлять при помощи реестра, где для скрытия элемента значение параметра должно быть dword:00000000, для отображения в виде ссылки - dword:00000001, а для отображения в виде меню - dword:00000002:
А показания таких сканеров как МБАМ надо подвергать тщательному анализу... ИМХО твёрдое
-
Nikol@y
Пока всё работает нормально!
Всем всего хорошего!