Author Topic: URL:Mal  (Read 8414 times)

0 Members and 1 Guest are viewing this topic.

Ручеек

  • Guest
URL:Mal
« on: December 25, 2012, 02:09:50 PM »
Помогите!!! Не могу войти в контакты. Аваст выдаетURL:   http://vk.com/id166164965
Процесс:   C:%5CUsers%5C%CB%E5%ED%E0%5CAppData%5CLo...
Инфекция:   URL:Mal       Что мне делать?

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: URL:Mal
« Reply #1 on: December 25, 2012, 02:11:35 PM »
Ручеек,здравствуйте! Добро пожаловать на форум!
Подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

Ручеек

  • Guest
Re: URL:Mal
« Reply #2 on: December 26, 2012, 08:37:55 AM »
Здравствуйте! Посылаю результат сканирования по 1 пункту.                                                                                                                               
Malwarebytes Anti-Malware (Пробная версия) 1.65.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.12.26.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Лена :: ЛЕНА-VAIO [администратор]

Защитный модуль : Включен

26.12.2012 9:02:21
mbam-log-2012-12-26 (09-02-21).txt

Тип сканирования:  Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  206767
Времени прошло:  3 минут , 56 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.

Объекты реестра обнаружены:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Помещено в карантин и успешно исправлено.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Помещено в карантин и успешно исправлено.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Помещено в карантин и успешно исправлено.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Помещено в карантин и успешно исправлено.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  0
(Вредоносных программ не обнаружено)

(конец)
2012/12/26 09:01:12 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Starting protection
2012/12/26 09:01:13 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Protection started successfully
2012/12/26 09:01:13 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Starting IP protection
2012/12/26 09:01:15 +0200   ЛЕНА-VAIO   Лена   MESSAGE   IP Protection started successfully
2012/12/26 09:01:28 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Starting database refresh
2012/12/26 09:01:28 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Stopping IP protection
2012/12/26 09:01:29 +0200   ЛЕНА-VAIO   Лена   MESSAGE   IP Protection stopped successfully
2012/12/26 09:01:31 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Database refreshed successfully
2012/12/26 09:01:31 +0200   ЛЕНА-VAIO   Лена   MESSAGE   Starting IP protection
2012/12/26 09:01:33 +0200   ЛЕНА-VAIO   Лена   MESSAGE   IP Protection started successfully
2012/12/26 09:08:07 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   31.31.73.138 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:09:44 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   89.28.70.56 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:12:33 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   178.152.5.210 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:13:54 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   77.78.228.3 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:24:45 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   93.190.109.36 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:25:33 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   218.10.63.55 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:27:09 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   77.247.182.241 (Type: outgoing, Port: 42485, Process: mediaget.exe)
2012/12/26 09:27:34 +0200   ЛЕНА-VAIO   Лена   IP-BLOCK   58.240.121.224 (Type: outgoing, Port: 42485, Process: mediaget.exe)
« Last Edit: December 26, 2012, 11:49:06 AM by Ручеек »

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: URL:Mal
« Reply #3 on: December 26, 2012, 11:58:27 AM »
это тоже удалите:
Code: [Select]
Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
остальные логи сейчас проанализирую.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: URL:Mal
« Reply #4 on: December 26, 2012, 12:12:54 PM »
 Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
Code: [Select]

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
после выполнения скрипта рекомендую обновить аваст и запланировать сканирование при загрузке.

Ручеек

  • Guest
Re: URL:Mal
« Reply #5 on: December 26, 2012, 12:53:11 PM »
All processes killed
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Все пользователи
 
User: Лена
->Temp folder emptied: 23239242 bytes
->Temporary Internet Files folder emptied: 73467608 bytes
->Google Chrome cache emptied: 387748809 bytes
->Opera cache emptied: 31785983 bytes
->Flash cache emptied: 104467 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 1721576 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12913154586 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 81844 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 97435 bytes
RecycleBin emptied: 2831498166 bytes
 
Total Files Cleaned = 15 510,00 mb
 
System Restore Service not available.
 
OTL by OldTimer - Version 3.2.69.0 log created on 12262012_133827

Files\Folders moved on Reboot...
C:\Users\Лена\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...




Ручеек

  • Guest
Re: URL:Mal
« Reply #6 on: December 26, 2012, 12:56:31 PM »
это тоже удалите:
Code: [Select]
Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
остальные логи сейчас проанализирую.



Что и как нужно удалить?

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: URL:Mal
« Reply #7 on: December 26, 2012, 01:01:12 PM »
это тоже удалите:
Code: [Select]
Обнаруженные ключи в реестре:  4
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
остальные логи сейчас проанализирую.



Что и как нужно удалить?
запустите снова сканирование malwarebytes anti-malware и удалите ВСЕ,что он найдет. Вконтакте сейчас работает?

Ручеек

  • Guest
Re: URL:Mal
« Reply #8 on: December 26, 2012, 01:19:14 PM »
Ура!!!!! ВК заработал. Спасибо огромное!!! :) Какой вы молодец!!! Я рада, что у нас все получилось!!!

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: URL:Mal
« Reply #9 on: December 26, 2012, 01:21:58 PM »
Ура!!!!! ВК заработал. Спасибо огромное!!! :) Какой вы молодец!!! Я рада, что у нас все получилось!!!
и все же удалите все,что нашел malwarebytes anti-malware и проведите авастом сканирование при загрузке,предварительно обновив базы антивируса.

bagrat

  • Guest
Re: URL:Mal
« Reply #10 on: December 26, 2012, 03:49:55 PM »
срочно  удалите данный топ

 

http://forum.avast.com/index.php?topic=111845.0

« Last Edit: December 26, 2012, 04:03:45 PM by bAGrat »

Ручеек

  • Guest
Re: URL:Mal
« Reply #11 on: December 26, 2012, 04:34:31 PM »
Все сделала, как вы сказали. При сканировании были выявлены 4 вируса. Я их удалила. Еще раз большое спасибо за помощь!!!

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3517
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Mal
« Reply #12 on: December 26, 2012, 10:25:20 PM »
Зашёл сегодня опять в новую тему:Аваст блокирует ВКонтакте.
И сразу сообщение моего AIS.
Но уже другого названия.
http://pixs.ru/showimage/virusjpg_2621735_6667975.jpg
Почему эта гадость выскакивает здесь?
Раньше такого никогда не было!
И напоследок,как вообще тогда убирать свои сообщения из темы?
Подскажите!
« Last Edit: December 27, 2012, 02:01:30 PM by ivanovich »
Я частичку своей жизни оставил в Ютербоге Германии !

Offline military

  • Sr. Member
  • ****
  • Posts: 287
Re: URL:Mal
« Reply #13 on: December 26, 2012, 10:29:09 PM »
ivanovich , вы меня извините.  :) Но аваст поругался на запись хост, хоть эта запись не в хост файле, а на форуме. То что ругается, это не плохо, значит работает ) но по хорошему запись с форума надо бы убрать.