Avast WEBforum
Non-English Zone => Русский => Topic started by: REDACTED on July 08, 2014, 10:24:47 AM
-
Здравствуйте. У меня беда. Подцепили вирус URL:Mal. Аваст его не видит. Обнаруживается только при запуске интернет браузера
Обьясните что и КАК нужно прикрепить к сообщению. Какую информацию.
-
anellakka, здравствуйте и добро пожаловать на форум!
Подготовьте отчеты по инструкции: Логи для помощи в очистке компьютера от заражений (http://forum.avast.com/index.php?topic=130898.0) и прикрепите их в следующем сообщении (все подробно описано в инструкции).
Примечание: пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчет на форуме
-
Готово. Сделала отчеты только по диагностике. Это все нужные или чего-то не хватает?
-
Еще отчет с программы JRT
-
единственное, проблема возникла при сканировании в "Malwarebytes Anti-Malware". Компьютер перезагрузился и при включении программы вылезала ошибка.
Угроза была обнаружена, но не исчезла. Все так же
-
Через Программы и компоненты в Панели управления удалите следующие программы:
"Get-Styles для ВКонтакте" = Get-Styles для ВКонтакте
"Podsolnushki.com Toolbar" = Podsolnushki.com Toolbar
- Скачайте прикрепленный файл fix.txt на Рабочий стол
- запустите снова программу OTL by OldTimer и нажмите run fix
- OTL спросит о местонахождении файла fix.txt
- Выберите файл, который Вы загрузили, и снова нажмите run fix.
- Компьютер перезагрузится.
- После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
После выполнения скрипта и перезагрузки скачайте AdwCleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) на Рабочий стол
- запустите AdwCleaner и нажмите кнопку Сканировать
- После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
(https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1)
-
"Podsolnushki.com Toolbar" = Podsolnushki.com Toolbar
файл не удаляется. При нажатии ничего не происходит. На секунду появляется значок ожидания у курсора и все.
-
Хорошо, выполняйте остальные инструкции ;)
-
All processes killed
========== OTL ==========
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\skin\classic folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\skin folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\locale\en-US folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\locale folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\content folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\Firefox\Profiles\3n71ja0x.default\extensions\WebSiteRecommendation@weliketheweb.com folder moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\firefox\profiles\3n71ja0x.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA38}.xpi moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\firefox\profiles\3n71ja0x.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA48}.xpi moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\firefox\profiles\3n71ja0x.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA58}.xpi moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\firefox\profiles\3n71ja0x.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA68}.xpi moved successfully.
C:\Users\Игорь\AppData\Roaming\mozilla\firefox\profiles\3n71ja0x.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78}.xpi moved successfully.
C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki\1.0.8_0\_locales\ru folder moved successfully.
C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki\1.0.8_0\_locales folder moved successfully.
C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki\1.0.8_0\images folder moved successfully.
C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki\1.0.8_0 folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{8dec4b69-27c4-405d-a37d-8d45c83f66ab} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8dec4b69-27c4-405d-a37d-8d45c83f66ab}\ deleted successfully.
C:\Program Files (x86)\Podsolnushki.com\prxtbPods.dll moved successfully.
Registry value HKEY_USERS\S-1-5-21-1980550730-612487051-555383517-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{00000000-0000-0000-0000-000000000000} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-0000-0000-0000-000000000000}\ not found.
Registry value HKEY_USERS\S-1-5-21-1980550730-612487051-555383517-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-1980550730-612487051-555383517-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{4B4D5056-3700-A76A-76A7-7A786E7484D7} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4B4D5056-3700-A76A-76A7-7A786E7484D7}\ not found.
Registry value HKEY_USERS\S-1-5-21-1980550730-612487051-555383517-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{8DEC4B69-27C4-405D-A37D-8D45C83F66AB} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8DEC4B69-27C4-405D-A37D-8D45C83F66AB}\ not found.
File C:\Program Files (x86)\Podsolnushki.com\prxtbPods.dll not found.
Registry value HKEY_USERS\S-1-5-21-1980550730-612487051-555383517-1001\Software\Microsoft\Windows\CurrentVersion\Run\\newSI_104 deleted successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\s_instg.exe moved successfully.
ADS C:\ProgramData\TEMP:10D14739 deleted successfully.
ADS C:\ProgramData\TEMP:890CC2F3 deleted successfully.
========== FILES ==========
C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Default\Extensions\cammakhaipbljopbkbbffhachjekcfki folder moved successfully.
C:\Program Files (x86)\Podsolnushki.com folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\_locales\ru folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\_locales\en folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\_locales folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\scripts folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\img folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\_locales\ru folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\_locales\en folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\_locales folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\scripts folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\img folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104\chrome folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_104 folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday\gjfhcaepjoeemgkfihjhjdilnoahpcae\res folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday\gjfhcaepjoeemgkfihjhjdilnoahpcae\kango-ui folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday\gjfhcaepjoeemgkfihjhjdilnoahpcae\kango folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday\gjfhcaepjoeemgkfihjhjdilnoahpcae\includes folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday\gjfhcaepjoeemgkfihjhjdilnoahpcae\icons folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday\gjfhcaepjoeemgkfihjhjdilnoahpcae folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome\blackfriday folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4\chrome folder moved successfully.
C:\Users\Игорь\AppData\Roaming\newSI_4 folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Все пользователи
User: Игорь
->Temp folder emptied: 542660537 bytes
->Temporary Internet Files folder emptied: 22394482 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 16058708 bytes
->Google Chrome cache emptied: 280731173 bytes
->Opera cache emptied: 10982 bytes
->Flash cache emptied: 8243 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 40956572 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 140537978 bytes
Total Files Cleaned = 995,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 07082014_144521
Files\Folders moved on Reboot...
C:\Users\Игорь\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
-
В AdwCleaner уберите флажки со следующих обнаруженных объектов:
Папка Найдено : C:\ProgramData\Media Get LLC
Папка Найдено : C:\Users\Игорь\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Игорь\AppData\Local\MediaGet2
Файл Найдено : C:\Users\Игорь\AppData\Roaming\Mozilla\Firefox\Profiles\3n71ja0x.default\.autoreg
***** [ Реестр ] *****
Ключ Найдено : HKCU\Software\Media Get LLC
Ключ Найдено : [x64] HKCU\Software\Media Get LLCи нажмите кнопку Очистить.
Наблюдается ли сейчас проблема?
-
Готово.
Все! Вирус исчез! ;D
Спасибо!
Скажите, какие из установленных программ можно удалить, а какие лучше оставить?
Я имею ввиду те, что сегодня использовались при диагностике и т.д.
-
Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы. Запустите AdwCleaner и нажмите кнопку Удалить для удаления программы и ее карантина. JRT можно удалить, переместив ее в корзину.
Malwarebytes Anti-Malware рекомендую оставить в качестве сканера по требованию и проводить сканирование компьютера хотя бы раз в месяц.
-
Спасибо большое!
и последний вопрос, у меня появился на рабочем столе файл MBR.dat
Что с ним делать? Что это вообще? Прошу прощения за многочисленность вопросов=)
-
Этот файл от антируткит-программы aswMBR, его можно удалить, как и саму программу aswMBR.exe.
Если у Вас есть вопросы, то не стесняйтесь спрашивать.
-
Все. Готово.
Спасибо вам огромное! :)
-
Здравствуйте! Проблема с тем же вирусом. Вылезает блокировка неких сайтов и ничего не помогает.
-
Vasiatka, здравствуйте и добро пожаловать на форум!
Я вижу, что у Вас установлены другие диагностические утилиты (Combofix, AdwCleaner), Вы проходите лечение на другом ресурсе?
- Сохраните прикрепленный файл fixlist.txt на Рабочий стол
- Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
Сообщите, наблюдается ли проблема после выполнения скрипта и перезагрузки.
-
Опять mal вылез. Подождал сперва, правда.
Я сам его пытался лечить сдуру. На старой машинке получалось когда-то.
-
Когда сообщение от аваст снова появится, во всплывающем сообщении нажмите кнопку Подробнее и скопируйте содержимое адресной строки браузера в следующее сообщение.
-
http://www.avast.ru/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_vir=VVJMOk1hbA&p_prc=C:\Windows\System32\svchost.exe&p_obj=aHR0cDovL2dldG11emljYXMuaW5mby8_ZT1ic3AmdW5wPUF6bTlDZE9MdjdEVkR5eEVDeUZQZzd4OUFlMEtCZlVLQWU0TUJHMFZXem5MRGU0UEJOcTlnZUZJJnB1Ymxpc2hlcj0xNDgxJmNvdW50cnk9UlMmZGQ9NSZjaWQ9MjE4JnZuPTIyOSZpbmQ9Mjk4NjM1MzEyMjU5ODI0MTkxOCZleGlkPTAmc3NkPTExMDAwODU3MDU4NjExMjM1MDEmaGlkPTE2NjM3MDkyNzA4MjU5OTczNDExJm9zaWQ9NjAzJmNoYW5uZWw9MCZzZng9MSZqYz0xJmNhdGVnb3J5X25hbWU9Jmluc3RhbGxfZGF0ZT0yMDEzMDcxMQ&p_var=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=223&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2021&p_hid=7d6b76e5-99b5-478e-826e-b0a50d79db1b&p_ram=3655&p_cpu=3%2C9
-
Вы запускали ComboFix? Если да, то прикрепите отчет в следующем сообщении.
-
Combofix не пошел. Ругается, что не докачался, что-то с медиа и отсылал на сайт . Я его не стал скачивать снова.
-
Скачайте ComboFix :
Ссылка 1 (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Ссылка 2 (http://www.forospyware.com/sUBs/ComboFix.exe)
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
* ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь (http://forums.whatthetech.com/How_Disable_your_Security_Programs_t96260.html&pid=494216#entry494216)
- Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
- Примите соглашение и согласитесь на обновление, если программа попросит об этом
(http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png)
(http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png)
- После окончания, будет произведен отчет.
- Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.
-
Аваст отключил. Программа не стартует. Пишет при всех вариантах запуска:
"ComboFix is not meant to run in "Compatibility Mode". The program shall now exit"
-
Я пропустил, что у Вас windows 8, ComboFix не поддерживает windows 8. Мы не может обнаружить данный вирус, но Combofix удаляет его, хотя и не показывает его в отчетах, т.е. нам приходится работать вслепую.
- Сохраните прикрепленный файл fixlist.txt на Рабочий стол
- Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
Сообщите, наблюдается ли проблема после выполнения скрипта и перезагрузки.
-
Есть. Отправил меня в перезагрузку, правда.
-
В инструкции было написано, что компьютер будет перезагружен.
Проблема по-прежнему наблюдается?
-
Да, Вы правы. Он и должен был перезагрузиться. Прошу прощения.
Вроде бы не наблюдается ничего. Никаких окон об угрозе. Видимо, вычищено.
Спасибо вам громадное, Мастер !
-
Понаблюдайте за системой, если завтра проблем наблюдаться не будет, то мы удалим все установленные программы для лечения.
-
Да, хорошо! Спасибо!!!
-
Здравствуйте!
Вирус больше не появлялся. Похоже, чисто все!
-
Запустите AdwCleaner и нажмите кнопку Удалить для удаления программы.
Удаление ComboFix- Нажмите клавишу Windows + R на клавиатуре. На экране появится диалоговое окно "Выполнить"
- В открывшемся окне введите ComboFix /Uninstall
(Обратите внимание на пробел между "x" и "/")
и нажмите OK
(http://i1224.photobucket.com/albums/ee362/Essexboy3/Misc%20screen%20shots/CF_Uninstall-1.jpg)
- Следуйте инструкциям на экране
- Должно появиться сообщение, подтверждающее, что ComboFix был удален.
Для удаления утилиты FRST, переместите ее в Корзину, удалите папку FRST в корне системного диска.
Рекомендую оставить Malwarebytes Anti-Malware в качестве сканера по требованию и проводить сканирование хотя бы раз в месяц.
-
ComboFix не установился вчера из-за несовместимости. Теперь не хочет удаляться - система не находит.
Все остальное удалил, следуя инструкциям.
Malwarebytes Anti-Malware поставил в расписание.
СПАСИБО ВАМ !