Author Topic: Постоянное заражение URL:MAL  (Read 6110 times)

0 Members and 1 Guest are viewing this topic.

Dalegery

  • Guest
Постоянное заражение URL:MAL
« on: February 19, 2014, 05:30:21 AM »
Доброго дня!
Аваст стал часто блокировать вирус  URL:MAL
Сайты показывает разные. Естественно сканирование компьютера ничего не показало, но проблема осталась.

ОС Windows 7 Максимальная
Антивирус Avast! Internet Sequrity 2014.9.0.2013

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #1 on: February 19, 2014, 05:32:01 AM »
еще отчеты

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Постоянное заражение URL:MAL
« Reply #2 on: February 19, 2014, 12:33:56 PM »
Dalegery, здравствуйте и добро пожаловать на форум!

Если сами не устанавливали, то удалите через Программы и компоненты программу Mobogenie.
  • Скачайте прикрепленный файл fix.txt на Рабочий стол
  • запустите снова программу OTL by OldTimer и нажмите run fix
  • OTL спросит о местонахождении файла fix.txt
  • Выберите файл, который Вы загрузили, и снова нажмите run fix.
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Повторите сканирование с помощью MBAM и удалите все обнаруженные объекты, прикрепите отчет в следующем сообщении.
« Last Edit: February 19, 2014, 12:41:23 PM by Andrey,pro »

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #3 on: February 20, 2014, 03:24:08 AM »
All processes killed
========== OTL ==========
HKU\S-1-5-21-788720697-4283676483-672863368-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
C:\Users\ZVER 2013\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\extensions\staged\{4933189D-C7F7-4C6E-834B-A29F087BFD24}.xpi moved successfully.
C:\Users\ZVER 2013\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_USERS\S-1-5-21-788720697-4283676483-672863368-1000\Software\Microsoft\Windows\CurrentVersion\Run\\NextLive deleted successfully.
File move failed. C:\Windows\SysWOW64\rundll32.exe scheduled to be moved on reboot.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
File C:\Games\Chronicles of Albian 2 The Wizbury School of Magic\links\xml\svchosl.exe not found.
ADS C:\ProgramData\TEMP:6EE8565A deleted successfully.
ADS C:\ProgramData\TEMP:2AE74FF9 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-788720697-4283676483-672863368-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\DigitalSite not found.
Registry value HKEY_USERS\S-1-5-21-788720697-4283676483-672863368-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\\Webalta Toolbar not found.
========== FILES ==========
C:\Windows\tasks\Digital Sites.job moved successfully.
C:\Users\ZVER 2013\AppData\Roaming\DigitalSites folder moved successfully.
C:\Windows\Adobe Flash folder moved successfully.
File\Folder C:\Users\ZVER 2013\AppData\Roaming\newnext.me not found.
File\Folder C:\Users\ZVER 2013\AppData\Local\Webalta Toolbar not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Azaq
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: wangjihua
 
User: ZVER 2013
->Temp folder emptied: 4145474058 bytes
->Temporary Internet Files folder emptied: 52614974 bytes
->FireFox cache emptied: 30258 bytes
->Google Chrome cache emptied: 37213497 bytes
->Flash cache emptied: 54681 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 133451267 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 43312318 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 4 208,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 02202014_091437

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\rundll32.exe scheduled to be moved on reboot.
C:\Users\ZVER 2013\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\ZVER 2013\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HYH1XLOM\client[1].txt moved successfully.
C:\Users\ZVER 2013\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8QIT7GOS\adv_magnet[1].htm moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
« Last Edit: February 20, 2014, 03:31:42 AM by Dalegery »

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #4 on: February 20, 2014, 03:32:21 AM »
Вот отчет

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Постоянное заражение URL:MAL
« Reply #5 on: February 20, 2014, 07:40:29 AM »
Найдите в папке C:\_OTL\MovedFiles файл rundll32.exe и скопируйте его в папку C:\Windows\SysWOW64
Проблема по-прежнему наблюдается?

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #6 on: February 20, 2014, 11:48:16 AM »
Нет такого файла в этой папке  :(

Проблемы по-прежнему наблюдаются...

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Постоянное заражение URL:MAL
« Reply #7 on: February 20, 2014, 02:25:19 PM »
Когда сообщение от аваст снова появится, то нажмите кнопку "Подробнее" во всплывающем сообщении и скопируйте содержимое адресной строки браузера в следующее сообщение.
Проблема наблюдается в каком-то определенном браузере или во всех?

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #8 on: February 21, 2014, 12:42:01 PM »
Вот оба отчета. Как только появится подобное сообщение, сразу скопирую

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Постоянное заражение URL:MAL
« Reply #9 on: February 21, 2014, 03:46:06 PM »
  • Сохраните прикрепленный файл fixlist.txt на Рабочий стол
  • Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Внимание! Данный скрипт был написан специально для этого пользователя! Использование его на другом компьютере может привести к неработоспособности ОС!

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #10 on: February 24, 2014, 10:29:23 AM »
Отчет fixlog.
Пока больше сообщений о таких вирусах не было.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Постоянное заражение URL:MAL
« Reply #11 on: February 25, 2014, 07:40:35 AM »
отчеты тоже в порядке.

Dalegery

  • Guest
Re: Постоянное заражение URL:MAL
« Reply #12 on: February 25, 2014, 12:04:32 PM »
Спасибо вам за терпение!!! Очень благодарна!!!