Постоянное заражение URL:MAL

[Dalegery]

Доброго дня!
Аваст стал часто блокировать вирус  URL:MAL
Сайты показывает разные. Естественно сканирование компьютера ничего не показало, но проблема осталась.

ОС Windows 7 Максимальная
Антивирус Avast! Internet Sequrity 2014.9.0.2013

[Dalegery]

еще отчеты

[Andrey,pro]

Dalegery, здравствуйте и добро пожаловать на форум!

Если сами не устанавливали, то удалите через Программы и компоненты программу Mobogenie.

• Скачайте прикрепленный файл fix.txt на Рабочий стол
  
• запустите снова программу OTL by OldTimer и нажмите run fix
  
• OTL спросит о местонахождении файла fix.txt
  
• Выберите файл, который Вы загрузили, и снова нажмите run fix.

• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Повторите сканирование с помощью MBAM и удалите все обнаруженные объекты, прикрепите отчет в следующем сообщении.

[Dalegery]

All processes killed
========== OTL ==========
HKU\S-1-5-21-788720697-4283676483-672863368-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
C:\Users\ZVER 2013\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\extensions\staged\{4933189D-C7F7-4C6E-834B-A29F087BFD24}.xpi moved successfully.
C:\Users\ZVER 2013\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_USERS\S-1-5-21-788720697-4283676483-672863368-1000\Software\Microsoft\Windows\CurrentVersion\Run\\NextLive deleted successfully.
File move failed. C:\Windows\SysWOW64\rundll32.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
File C:\Games\Chronicles of Albian 2 The Wizbury School of Magic\links\xml\svchosl.exe not found.
ADS C:\ProgramData\TEMP:6EE8565A deleted successfully.
ADS C:\ProgramData\TEMP:2AE74FF9 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-788720697-4283676483-672863368-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\DigitalSite not found.
Registry value HKEY_USERS\S-1-5-21-788720697-4283676483-672863368-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\Webalta Toolbar not found.
========== FILES ==========
C:\Windows\tasks\Digital Sites.job moved successfully.
C:\Users\ZVER 2013\AppData\Roaming\DigitalSites folder moved successfully.
C:\Windows\Adobe Flash folder moved successfully.
File\Folder C:\Users\ZVER 2013\AppData\Roaming\newnext.me not found.
File\Folder C:\Users\ZVER 2013\AppData\Local\Webalta Toolbar not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Azaq
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: wangjihua
 
User: ZVER 2013
->Temp folder emptied: 4145474058 bytes
->Temporary Internet Files folder emptied: 52614974 bytes
->FireFox cache emptied: 30258 bytes
->Google Chrome cache emptied: 37213497 bytes
->Flash cache emptied: 54681 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 133451267 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 43312318 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 4 208,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 02202014_091437

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\rundll32.exe scheduled to be moved on reboot.
C:\Users\ZVER 2013\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\ZVER 2013\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HYH1XLOM\client[1].txt moved successfully.
C:\Users\ZVER 2013\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8QIT7GOS\adv_magnet[1].htm moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[Dalegery]

Вот отчет

[Andrey,pro]

Найдите в папке C:\_OTL\MovedFiles файл rundll32.exe и скопируйте его в папку C:\Windows\SysWOW64
Проблема по-прежнему наблюдается?

[Dalegery]

Нет такого файла в этой папке 

Проблемы по-прежнему наблюдаются...

[Andrey,pro]

Когда сообщение от аваст снова появится, то нажмите кнопку "Подробнее" во всплывающем сообщении и скопируйте содержимое адресной строки браузера в следующее сообщение.
Проблема наблюдается в каком-то определенном браузере или во всех?

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

[Dalegery]

Вот оба отчета. Как только появится подобное сообщение, сразу скопирую

[Andrey,pro]

• Сохраните прикрепленный файл fixlist.txt на Рабочий стол
• Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Внимание! Данный скрипт был написан специально для этого пользователя! Использование его на другом компьютере может привести к неработоспособности ОС!

[Dalegery]

Отчет fixlog.
Пока больше сообщений о таких вирусах не было.

[Andrey,pro]

отчеты тоже в порядке.

[Dalegery]

Спасибо вам за терпение!!! Очень благодарна!!!