Avast WEBforum

Non-English Zone => Русский => Topic started by: REDACTED on July 09, 2014, 11:39:47 PM

Title: Проблемы с удалением вируса (URL: Mal)
Post by: REDACTED on July 09, 2014, 11:39:47 PM
Аваст постоянно выдает обнаружение вируса при работе с браузером.Вот пример сообщения
http://www.avast.ru/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_vir=VVJMOk1hbA&p_prc=C:\Windows\System32\svchost.exe&p_obj=aHR0cDovL2dldHVzYWFhbGwuaW5mby8_ZT1wY2hvJmNodD0yJmRjdT0xJmNwYXRjaD0yJmRjcz0xJnBmPTEmdW5wPUF6bTlDZE9MdjdEVkR5eEVDeUZQZzd4OUFlMEtCZlVLQWU0TUJHMFZXem5MRGU0UEJOcTlnZUZJJnB1Ymxpc2hlcj0yMzg5JmRkPTQmY291bnRyeT1SVSZpbmQ9NjA4NzUzOTEyNjQ2NjU2MzI1JmV4aWQ9MTQwNDg0OTU2NzMwMDAwMjA3OCZzc2Q9NDczODUxOTQ2MDY4NzQ3NDE5NCZoaWQ9Mzg5ODM0MzUzNTA1ODkwNjc2NSZvc2lkPTYwMSZjaGFubmVsPTAmc2Z4PTEmamM9MSZjYXRlZ29yeV9uYW1lPVByaWNlQ2hvcDImaW5zdGFsbF9kYXRlPTIwMTMwNzA5&p_var=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=245&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2016&p_hid=b9199744-9557-4f84-a9c5-a148af1695be&p_ram=12269&p_cpu=7%2C3

К сообщению прикрепил все логи.
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: Andrey,pro on July 10, 2014, 08:43:37 AM
13falaran13, здравствуйте и добро пожаловать на форум!

Поажлуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: REDACTED on July 10, 2014, 09:02:08 AM
Quote from: Andrey,pro on July 10, 2014, 08:43:37 AM
13falaran13, здравствуйте и добро пожаловать на форум!

Поажлуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме

Готово
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: Andrey,pro on July 10, 2014, 09:42:29 AM
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

Обратите внимание, если после выполнения скрипта пропадет доступ в интернет, то необходимо в настройках DNS прописать вручную или DNS-cервера провайдера или введите Google public DNS:
предпочитаемый: 8.8.8.8
альтернативный: 8.8.4.4

Подробнее как это сделать: http://forum.avast.com/index.php?topic=128395.msg957993#msg957993

Очистите кэш и cookie браузеров, подготовьте новый отчет OTL.

2.Скачайте AdwCleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) на Рабочий стол
(https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1)
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: REDACTED on July 10, 2014, 10:00:45 AM
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: Andrey,pro on July 10, 2014, 10:08:02 AM
13falaran13, в инструкции еще есть пункт 2.
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: REDACTED on July 10, 2014, 10:21:55 AM
Quote from: Andrey,pro on July 10, 2014, 10:08:02 AM
13falaran13, в инструкции еще есть пункт 2.
Прикрепляю отчет ADW И отчет OTL после очистки куки
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: Andrey,pro on July 10, 2014, 10:32:54 AM
В AdwCleaner уберите флажки со следующих обнаруженных объектов:
Code: [Select]
Папка Найдено : C:\ProgramData\Media Get LLC
Папка Найдено : C:\Users\Администратор\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Local\Media Get LLC
Папка Найдено : C:\Users\Администратор\AppData\Local\MediaGet2
Папка Найдено : C:\Users\Администратор\AppData\Roaming\Media Get LLC
Папка Найдено : C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2

***** [ Реестр ] *****
Ключ Найдено : HKCU\Software\Media Get LLC
Ключ Найдено : HKCU\Software\MediaGet
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
Ключ Найдено : [x64] HKCU\Software\Media Get LLC
Ключ Найдено : [x64] HKCU\Software\MediaGetи нажмите кнопку Очистить.

2. ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: REDACTED on July 10, 2014, 10:54:04 AM
Quote from: Andrey,pro on July 10, 2014, 10:32:54 AM
В AdwCleaner уберите флажки со следующих обнаруженных объектов:
Code: [Select]
Папка Найдено : C:\ProgramData\Media Get LLC
Папка Найдено : C:\Users\Администратор\AppData\Local\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Local\Media Get LLC
Папка Найдено : C:\Users\Администратор\AppData\Local\MediaGet2
Папка Найдено : C:\Users\Администратор\AppData\Roaming\Media Get LLC
Папка Найдено : C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Папка Найдено : C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2

***** [ Реестр ] *****
Ключ Найдено : HKCU\Software\Media Get LLC
Ключ Найдено : HKCU\Software\MediaGet
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
Ключ Найдено : [x64] HKCU\Software\Media Get LLC
Ключ Найдено : [x64] HKCU\Software\MediaGetи нажмите кнопку Очистить.

2.
  • Скачайте прикрепленный файл fix.txt на Рабочий стол
  • запустите снова программу OTL by OldTimer и нажмите run fix
  • OTL спросит о местонахождении файла fix.txt
  • Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!



All processes killed
========== OTL ==========
========== FILES ==========
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\_locales\ru folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\_locales\en folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\_locales folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\scripts folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc\img folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w\inaenlllflboilfgkemmadfmionaggbc folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_w folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\_locales\ru folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\_locales\en folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\_locales folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\scripts folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn\img folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d\ollojkkgpljbfmjahialmefnmbccnhpn folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome\vksaverpluswb_d folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\newSI_104 folder moved successfully.
File\Folder C:\Users\Администратор\AppData\Roaming\sweet-page not found.
File\Folder C:\Users\Администратор\AppData\Roaming\UpdaterEX not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Ђ¤¬Ё­Ёбва в®а
->Temporary Internet Files folder emptied: 0 bytes
 
User: Администратор
->Temp folder emptied: 645349 bytes
->Temporary Internet Files folder emptied: 3900260 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 351326730 bytes
->Flash cache emptied: 727 bytes
 
User: Все пользователи
 
User: �������������
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 44272 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 32902 bytes
RecycleBin emptied: 1365 bytes
 
Total Files Cleaned = 339,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 07102014_124745

Files\Folders moved on Reboot...
C:\Users\Администратор\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\zptr\logs\service\4game-service.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Проблема не исчезла
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: Andrey,pro on July 10, 2014, 10:55:38 AM
Скачайте  ComboFix :
Ссылка 1  (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Ссылка 2 (http://www.forospyware.com/sUBs/ComboFix.exe)
 
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
 
* ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее.  Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см.  здесь  (http://forums.whatthetech.com/How_Disable_your_Security_Programs_t96260.html&pid=494216#entry494216)
(http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png)

(http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png)

Примечания:
1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения

Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: REDACTED on July 10, 2014, 11:24:42 AM
Quote from: Andrey,pro on July 10, 2014, 10:55:38 AM
Скачайте  ComboFix :
Ссылка 1  (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
Ссылка 2 (http://www.forospyware.com/sUBs/ComboFix.exe)
 
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
 
* ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее.  Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см.  здесь  (http://forums.whatthetech.com/How_Disable_your_Security_Programs_t96260.html&pid=494216#entry494216)
  • Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
  • Примите соглашение и согласитесь на обновление, если программа попросит об этом
(http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png)

(http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png)

  • После окончания, будет произведен отчет.
  • Пожалуйста, прикрепите  C:\ComboFix.txt в следующем сообщении.
Примечания:
1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения

Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.


Пока проьблема не появилась. Будет ясно точно через некоторое время
Title: Re: Проблемы с удалением вируса (URL: Mal)
Post by: Andrey,pro on July 10, 2014, 12:38:09 PM
13falaran13, Combofix-очень мощная утилита, но иногда она удаляет и легитимные файлы. Думаю, что этот файл d:\games\WORLD_~1\WOTRes~1.exe принадлежит какой-то игре, если он Вам нужен, то следуйте этой инструкции для восстановления файла из карантина: http://virusinfo.info/showthread.php?t=58309&p=514765&viewfull=1#post514765

Понаблюдайте за системой, если проблем не будет, то мы удалим все установленные программы для лечения.