Avast WEBforum
Non-English Zone => Русский => Topic started by: REDACTED on July 31, 2014, 09:25:56 PM
-
Добрый вечер!
В третий раз прицепилась ко мне зараза URL:Mal :(
При сканировании аваст угроз не обнаружил, но mbam показал 6 подозрительных файлов (переместила в карантин).
мог ли mbam переместить вирус в карантин или же необходимо лечение? Логи прилагаю.
спасибо заранее!
-
еще лог
-
- Сохраните прикрепленный файл fixlist.txt на Рабочий стол
- Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
-
fixlog
-
Stanley76, проблема по-прежнему наблюдается?
-
опять bitsadmin /reset /allusers нечитаемо :(
запустить командную строку от имени администратора тоже не смогу - проблема с правами учетки
вроде все нормально, но вирус и до этого никак себя не проявлял, кроме сообщения от аваста. как это можно проверить? сейчас просканирую mbam'ом, если, конечно, она что-то найдет
-
MBAM ничего не нашел, как еще можно проверить?
-
и еще вопрос - из карантина mbam нужно удалять файлы (по крайней мере, червя и трояна)?
карантин на скрине
-
Из карантина можно ничего не удалять, среди обнаруженных объектов:
pkey.exe - не вирус, взлом программ
hidcon.exe - не вирус, используется для скрытого запуска командной строки
На самом деле, самого червя тоже нет, от него только осталась запись в реестре.
Если никаких проблем нет, то дополнительные сканирования не требуются ;)
-
спасибо большое, Andrey!
:)
-
Понаблюдайте за работой системы, если проблем не будет, то необходимо удалить все установленные программы для очистки компьютера.
Для этого скачайте и запустите Delfix (http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/9-delfix)
(https://dl.dropboxusercontent.com/u/73555776/delfix.JPG)
Рекомендую оставить Malwarebytes Anti-Malware в качестве сканера по требованию и проводить проверку хотя бы раз в месяц.
-
готово)
все нормально, спасибо за помощь.
а вот после этой штуки - http://safezone.cc/threads/problemy-s-kodirovkoj-dos-prilozhenij-posle-primenenija-combofix.2204/ (2ая инструкция) слетела винда >:(
или это было несовместимо с моим случаем, или этот код нужно подправить
спасибо, что помогли с вирусом)
-
а вот после этой штуки - http://safezone.cc/threads/problemy-s-kodirovkoj-dos-prilozhenij-posle-primenenija-combofix.2204/ (2ая инструкция) слетела винда >:(
Печально, надо было сообщить об этом в одном из сообщений, мы могли бы восстановить работоспособность ОС.
-
я сразу же и сообщила :)
а как ее можно восстановить? кажется, тут уж проще переустановит заново, но было б неплохо, если б Вы сказали хоть примерно, как ее восстановить.
у меня ХР SP3, на экране сообщение 'не удается запустить windows из-за испорченного или отсутствующего файла /WINDOWS/system32/config/SYSTEM'
vjно попробовать восст-ть этот файл запустив программу установки windows с оригинального установочного сd-rom. .... '
все же мне кажется, что с этим Codepage repair что-то не то, раз он запросто снес мне винду - в предыдущий раз я сама все исправила в реестре, и никаких проблем не было :)
-
Похоже, что эта программа повредила реестр, подготовьте отчет по этой инструкции: https://forum.avast.com/index.php?topic=130898.msg968445#msg968445
-
сейчас сделаю, вот только один вопрос - восстановление будет выполняться с установочного диска windows или с помощью какой-либо программы? спрашиваю просто потому, что диска с windows под рукой сейчас нет.
-
Установочный диск windows не потребуется, мы будем использовать только FRST и, возможно, командную строку.
-
Andrey, загрузился Reatogo и теперь у меня синий экран смерти :(
что теперь?
или теперь уже точно переустановка винды?
-
Stanley76, я правильно понял, что после запуска Рабочего стола Reatogo появился синий экран смерти (BSOD)?
Есть и другие способы, у Вас windows xp?
-
не совсем - рабочий стол Reatogo не запустился, просто шел процесс сканирования (черный экран и внизу progress bar cнадписью Reatogo P- X (буквы точно не помню)), а когда сканирование завершилось, появилась стандартная заставка windows xp и сразу же после нее - cиний экран смерти
у меня ХР SP3
-
Для доступа к файлам на windows мы будем использовать Dr.Web LiveCD/USB.
- Создайте загрузочный диск/флэшку по инструкции и загрузитесь с него: http://www.freedrweb.com/livecd/how_it_works/
- Запустите файловый менеджер Midnight Commander (http://ftp.drweb.com/pub/drweb/livecd/HTML/ru/index.html?file_manager.html)
- Перейдите в директорию WINDOWS/system32/config и переименуйте файлы: system в system.bak; software в software.bak; sam в sam.bak; security в security.bak; default в default.bak
- Если у Вас есть папка windows\repair , то скопируйте файлы system, software, sam, security и default в папку WINDOWS/system32/config, в противном случае, сообщите в следующем сообщении, что папка windows\repair отсутствует.
-
ну, наверное я все-таки переустановлю винду :)
но все равно, спасибо большое что возились со мной и за Ваше терпение :)
а Codepage Repair лучше подправьте, чтоб еще кому-нибудь так не 'повезло'
OTLPENet.exe и FRST просто удалить или делфиксом?
-
Stanley76, не сдавайтесь, это займет у Вас около 30 минут и компьютер будет снова работать + Вы получите опыт по восстановлению реестра из резервной копии ;)
OTLPENet.exe и FRST просто удалите.
-
вот зря уговариваете, а то уговорите :)
попыталась - dr web не хочет ни с флешки загружаться, ни с DVD диска, опять все та же надпись 'не удается запустить windows из-за испорченного или отсутствующего файла /WINDOWS/system32/config/SYSTEM'
так что лучший выход переустановить винду, давно собиралась, а тут как раз случай :)
но все равно спасибо ;)
-
Если при загрузке появляется надпись 'не удается запустить windows из-за испорченного или отсутствующего файла /WINDOWS/system32/config/SYSTEM', то это значит, что или Вы не выставили в настройках BIOS загрузку с диска или ваш компьютер не поддерживает загрузчик программы, с помощью которой Вы прожигали диск.
Какой программой Вы прожигали диск?
-
вроде все правильно делаю - захожу в биос, выбираю, с какого диска загружаться (или нужно зайти в 'enter setup' и там еще указать? )
диск прожигала Nero 6
-
К сожалению, я не знаю все виды BIOS, инструкция для наиболее распространненых здесь: http://docs.puppyrus.org/setups/bios
Думаю, что проблема не в этом, т.к. Вы уже загружали Reatogo.
BIOS вашего компьютера поддерживает загрузку со съемных носителей, т.к. Dr.Web LiveUSB должен работать?
-
ну по идее поддерживает, раз Reatogo загрузился.
ничего, это не катастрофа, на компе ничего важного не было, так что мне повезло :)
но Codepage repair лучше не советовать, как мне кажется)), но опять же - может, это только с моей системой такое получилось
спасибо еще раз, везде б такой сапорт был :)
-
Есть еще вариант: подключить жесткий диск с проблемного компьютера на рабочий компьютер, таким образом Вы получите доступ к файлам на жестком диске и сможете восстановить резервную копию.
-
ээ, я так вообще спать сегодня не лягу, но за идею спасибо ;)
-
Приношу извинения за причиненные неудобства, я не являюсь разработчиком программы Codepage repair, но т.к. я дал ссылку на эту инструкцию, то я хочу сделать все возможное, чтобы восстановить работу ПК, тем более, что это очень легко :)
Если Вы не найдете папку windows\repair, то попробуйте найти папку FRST в корне системного диска или папку windows\ERDNT, но пока ничего не предпринимайте, только напишите, есть ли такие папки на диске.
-
да все нормально, не беспокойтесь :)
я Вас ни в коем случае не обвиняю - если уж кто и виноват, то только я, надо было, как и в прошлый раз, менять в реестре вручную, а не запускать чужое, и это тоже бесценный опыт ;)
спасибо за то, что старались помочь, у вас очень полезный форум!
один последний вопрос - можно как-то уберечься от этого url:mal ? может, он какие-то определенные браузеры / ОС "предпочитает"? по странным сайтам не хожу, к тому же аваст всегда спасал, как тут быть?
-
один последний вопрос - можно как-то уберечься от этого url:mal ? может, он какие-то определенные браузеры / ОС "предпочитает"? по странным сайтам не хожу, к тому же аваст всегда спасал, как тут быть?
Любой уважающий себя антивирус с резидентной защитой и даже некоторые браузеры всегда проверяют открываемые ссылки на наличие подозрительной деятельности. В случае подозрения на наличие зловредного и опасного содержания и выдаётся предупреждение URL:mal. Наличие или угроза такой деятельности определяется не самим антивирусом, а автоматической проверкой посещаемых ссылок по различным специализированным базам в интернете. Чаще всего такие базы для антивирусов представляют, например, такие интернет-сервисы как Google Safebrowsing, Website Antivirus, Webutation, Web Of Trust, Wikipedia Trust Links, G-Rated и другие. Так что если какой-то сайт попадает в "чёрные списки" на таких сервисах, то пользователь обязательно получит предупреждение от антивируса. И получить его можно даже заходя на сайт из "чёрного списка": достаточно посетить совсем безвредный сайт, на котором может оказаться ссылка (рекламный банер, например), ведущая на сайт со зловредами.
-
George, я правильно понимаю - если, допустим, я получаю извещение от аваста про url:mal о потенциальной угрозе, то заражение уже произошло? или же это всего лишь предупреждение?
-
URL:mal — это предупреждение, что компьютер может подвергнуться воздействию вредоносного ПО при посещении данного адреса в интернете. В принципе, это не означает, что вредоносы проникли в систему: антивирус автоматически заблокировал подключение браузера к такому адресу и ничто оттуда не попало в компьютер. Достаточно не кликать по такой ссылке, а ещё лучше уйти со страницы и всё в порядке.
Но если такое оповещение срабатывает при посещении любого адреса, то это уже другая история. Теперь это значит, что вредоносы (обычно это так называемые "потенциально небезопасные программы" (ПНП), уже проникли в систему (обычно в виде скрытых временных файлов или значений системного реестра) и при каждом выходе в интернет они пытаются скрытно подключиться к опасному адресу. Вот в этом случае надо обязательно обратиться к специалисту для удаления вредоносного ПО.
-
спасибо за подробный ответ, теперь понятно :)