Avast WEBforum
Non-English Zone => Русский => Topic started by: hit_run on April 03, 2014, 11:16:23 AM
-
Добрый день!
При подключении интернета вылазит окошко, что Аваст заблокировал вирус. Url:mal. Ругается на svchost. Дальше работа идёт вроде как нормально. Что делать? С чего начать избавляться? Спасибо за поддержку...
-
Добрый день hit_run и добро пожаловать на форум!
В сообщении avast! нажмите "Подробнее", откроется страница в браузере. Ссылку на эту страницу выложите в следующем сообщении.
Подготовьте отчеты для диагностики и очистки заражений (http://forum.avast.com/index.php?topic=130898.msg968438#msg968438), прикрепите их к своему следующему сообщению.
-
http://www.avast.ru/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_vir=URL:Mal&p_prc=C:\Windows\system32\svchost.exe&p_obj=h_dmnfwd_com__?dn=&pid=1PO8G3V7O&p_var=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=287&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2013&p_hid=fead9634-868b-4f72-9590-976856c92712&p_ram=2047&p_cpu=5%2C4
-
.
-
при попытке поиска в гугле перенаправляет вот сюда хhttp://www.dmnfwd.com/?dn=&pid=1PO8G3V7O, Аваст блокирует.
-
при попытке поиска в гугле перенаправляет вот сюда http://www.dmnfwd.com/?dn=&pid=1PO8G3V7O, Аваст блокирует.
Это явное заражение. Подождите пока зайдёт на форум Andrey,pro,он Вам поможет полечиться.
-
спасибо, жду и надеюсь. на самом деле немного неверно написал - перенаправляет когда пытаешься юзать поиск через адресную строку файрфокса. кто-то за мной следить пытается....
-
hit_run, отредактируйте свое предыдущее сообщение, сделав ссылку некликабельной, например, так: хttp://avast.com
Запланируйте сканирование avast! во время загрузки ПК, перезагрузитесь, дождитесь завершения сканирования.
-
hit_run, отредактируйте свое предыдущее сообщение, сделав ссылку некликабельной, например, так: хttp://avast.com
Запланируйте сканирование avast! во время загрузки ПК, перезагрузитесь, дождитесь завершения сканирования.
сделал сканирование, но не пойму, как найти отчёт, где включить показ скрытых файлов и папок в семёрке? а то сохранился отчёт в c:\programdata, а этой папки из проводника не видно...
-
разобрался. вот
-
hit_run, JRT и MBAM удалили вредоносные файлы, отчеты в порядке, проблема по-прежнему наблюдается?
-
да, проблема та же самая, и да, почти каждая из прог что-то нашла и удалила, но заражён, походу, сам svchost. подключаю интернет - выскакивает 2-3 раза сообщение Аваста из первого моего сообщения, ругается на свхост. из файрфокса если пытаюсь как раньше что-то вбить в адресную строку для поиска в инете - выскакивает та же байда, но ругается на файрфокс. но вот это (второе) не всегда происходит.
-
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
(https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1)
-
.
-
Через Программы и компоненты удалите программу:
Update for Zip Opener
- Сохраните прикрепленный файл fixlist.txt на Рабочий стол
- Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Внимание! Данный скрипт был написан специально для этого пользователя! Использование его на другом компьютере может привести к неработоспособности ОС!
+ пересоздайте ярлыки запуска браузера: для этого удалите ярлыки браузера с Рабочего стола и создайте новые.
-
диск F - виртуальный носитель daemon tools-а
-
Программу Update for Zip Opener удалили, ярлыки пересоздали? Проблема по-прежнему наблюдается после проделанных операций? Очистите еще кэш и куки браузера.
-
всё сделал, перезагрузился, подключаюсь к инету - всё то же самое. ругается на svchost.exe, ярлыки браузеров думаю ни при чём, так как браузер даже не открываю - уже ругается. сразу, при установке соединения.
-
Скачайте программу Gmer: http://www.gmer.net/download.php . Запустите программу (в windows Vista и 7 программу нужно запускать от имени администратора).
После автоматической экспресс-проверки, отметьте галочкой только системный раздел (обычно это диск C:\) и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под любым именем, например gmer.log и прикрепите отчет к следующему сообщению.
-
скачал, запустил, отметил диск С:, начал скан, спустя полминуты на экране артефакты, комп ушёл в синий экран смерти и перезагрузился...
-
попробуйте подготовить отчет в Безопасном режиме
-
сделал, только вот вопрос - я из просто safe mode делал, там же сетевые драйверы не загружаются, может следовало с поддержкой сетевых драйверов?
-
Ни в одном отчете я не увидел ничего подозрительного...
Когда сообщение от аваст снова появится (будет ругаться на svchost.exe) нажмите кнопку "Подробнее" во всплывающем окне и скопируйте содержимое адресной строки браузера в следующее сообщение.
-
уже писал здесь
http://www.avast.ru/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_vir=URL:Mal&p_prc=C:\Windows\system32\svchost.exe&p_obj=h_dmnfwd_com__?dn=&pid=1PO8G3V7O&p_var=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=287&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2013&p_hid=fead9634-868b-4f72-9590-976856c92712&p_ram=2047&p_cpu=5%2C4
-
сайт всегда один и тот же?
Я вижу, что Вы загрузили AdwCleaner, прикрепите отчет.
-
да, один и тот же всегда, даже ссылка одна и та же.
-
Скачайте ComboFix :
Ссылка 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Ссылка 2 (http://www.forospyware.com/sUBs/ComboFix.exe)
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
* ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь (http://forums.whatthetech.com/How_Disable_your_Security_Programs_t96260.html&pid=494216#entry494216)
- Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
- Примите соглашение и согласитесь на обновление, если программа попросит об этом
(http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png)
(http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png)
- После окончания, будет произведен отчет.
- Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.
-
сорри конечно, а если я аваст отключу временно, значит и интернет отрубить пока?
-
да, на время сканирования интернет лучше отключить
-
без изменений...
-
В папке c:\windows\TEMP есть файлы 2EDFE15.sys и 345C5FA.sys?
если есть, то просканируйте их на virustotal:
Проверьте файл на virustotal (https://www.virustotal.com/ru/):
- нажмите кнопку Выбрать файл - найдите нужный файл у вас в системе - Открыть - Проверить.
- Нажмите на кнопку Повторить анализ, если данная кнопка будет доступна.
- Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) cкопируйте и укажите в следующем сообщении.
-
Добрый вечер... нет таких файлов там. Недавно чистил ccleaner-ом, может поэтому удалились если и были...
-
- Скачайте прикрепленный файл fix.txt на Рабочий стол
- запустите снова программу OTL by OldTimer и нажмите run fix
- OTL спросит о местонахождении файла fix.txt
- Выберите файл, который Вы загрузили, и снова нажмите run fix.
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
-
All processes killed
========== COMMANDS ==========
Restore point Set: OTL Restore Point
========== OTL ==========
Service 345C5FA stopped successfully!
Service 345C5FA deleted successfully!
File C:\Windows\TEMP\345C5FA.sys not found.
Service 2EDFE15 stopped successfully!
Service 2EDFE15 deleted successfully!
File C:\Windows\TEMP\2EDFE15.sys not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
User: Все пользователи
User: Денис
->Temp folder emptied: 155508024 bytes
->Temporary Internet Files folder emptied: 7612 bytes
->Java cache emptied: 2008280 bytes
->FireFox cache emptied: 65978706 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 1488 bytes
User: „ҐЁб
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 128 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 182 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 213,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 04042014_222302
Files\Folders moved on Reboot...
C:\Users\Денис\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
-
Проблема после выполнения скрипта по-прежнему наблюдается?
-
Да, чёрт её дери...
-
Скачайте AdwCleaner (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) на Рабочий стол
- запустите AdwCleaner и нажмите кнопку Scan
(https://dl.dropbox.com/u/73555776/AdwCleaner.GIF)
- После того, как сканирование будет окончено, нажмите кнопку report, будет создан отчет, прикрепите его в следующем сообщении
-
ещё раз? я вчера вам прикреплял отчёт... щас ещё раз сделаю.
-
проблема осталась
-
Извините, не ту инструкцию открыл :)
Скачайте утилиту Kaspersky TDSSKiller (http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe)
- Запустите программу и нажмите кнопку Начать проверку и дождитесь ее окончания.
• Если в ходе сканирования будут обнаружены Подозрительные объекты, то действие по умолчанию - Пропустить, нажмите кнопку Продолжить.
• Если в ходе сканирования будут обнаружены Вредоносные объекты, то выберите действие Лечить.
- После того, как сканирования будет окончено, прикрепите отчет в следующем сообщении. Отчет располагается в C:\TDSSKiller.<версия_дата_время>log.txt
-
это тоже можно пропускать, скачивал, делал, ничего не нашёл... блин
-
По отчетам я не вижу никаких проблем, возможно, причиной может быть торрент-клиент.
Запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы.
Удаление ComboFix- Нажмите клавишу Windows + R на клавиатуре. На экране появится диалоговое окно "Выполнить"
- В открывшемся окне введите ComboFix /Uninstall
(Обратите внимание на пробел между "x" и "/")
и нажмите OK
(http://i1224.photobucket.com/albums/ee362/Essexboy3/Misc%20screen%20shots/CF_Uninstall-1.jpg)
- Следуйте инструкциям на экране
- Должно появиться сообщение, подтверждающее, что ComboFix был удален
-
торрент-клиент не запущен, да и какая связь системного процесса svchost с незапущенным торрент-клиентом? возможно, причина - то, что у меня левый наушник не работает? извините, конечно, но это вся помощь, что вы можете предоставить? надежды нет?
-
сайт один и тот же, адрес один и тот же... неужели нет конкретного способа выяснить, что это за сайт такой?
-
и где блин и что за файл или команда ссылается на этот сайт? где-то у меня на компе это же должно быть прописано?
-
вот прямо сейчас ни с того опять лезет, как будто активизируется временами
-
К сожалению, я ничем больше помочь не могу, установить источник проблемы мне не удалось.
-
ок, спасибо за старания... добавил сайт этот в блокировки аваста. а сообщить в центр разработки антивируса - возможно ? просто ничего кроме моей темы в гугле не находится про этот сайт путёвого...