Avast взбесился.

[Tabrisk]

Второй день подряд он буквально каждые пять минут выдает "заражение". В нескольких вариантах.
http://saveimg.ru/show-image.php?id=a680aaddd139d225e381319244ffa327
http://saveimg.ru/show-image.php?id=d15054d89b514ede0571d6ca0b1b9e1e
http://saveimg.ru/show-image.php?id=34ddd0837ee62c7e5959da463d4044ab
А сегодня ночью я закрыл ноут, а когда открыл его утром -- avast минуты три раздирался воплями о заражениях. Что вообще за фигня творится?

[koscl]

у вас вирус, но ав аст не может его прибить.
проверяйте компьютер разными антивирусными сканера ми, ссылки найдете тут www.antivir.host22.com/soft.html

[Andrey,pro]

Tabrisk, подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

[Tabrisk]

Вот-с. И донимают меня эти "заражения" по-прежнему.

[George Yves]

Подождём, что скажут специалисты. А пока я посмотрел Ваши логи. Лог от МВАМ показал, что Вы любите играть и иногда ставите "ломалки" для игр. Вот это:

Code: [Select]

C:\Users\hp\Downloads\burnout_paradise_the_ultimate_box_nocd_nodvd__[1001]_id120692id.exe (PUP.Adware.MediaGet)если не ошибаюсь, есть такой "кряк". Думаю, ничего удивительного нет в том, что какая-нибудь из Ваших "ломаных" игрушек пытается скрытно от Вас связаться с каким-то прокси-сервером, о чём свидетельствуют Ваши снимки экрана. По ним видно, что Ваш компьютер пытается использовать Web Proxy Auto-Discovery Protocol (WPAD) - протокол, который позволяет автоматически определять настройки прокси-сервера без участия пользователя. В самом протоколе нет ничего плохого, его употребляют все современные браузеры, но вот Аваст выяснил, что Ваш компьютер пытается подключиться к неблагонадёжным серверам.

Вы не помните, после каких Ваших действий (установка или удаление программы, посещения веб-сайта и т.п.) Аваст стал Вас тревожить? И делали ли Вы загрузочное сканирование самим Авастом?

[Andrey,pro]

 Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

проверьте этот файл на вирустотал https://www.virustotal.com/ и ссылку покажите в следующем сообщении

Code: [Select]

C:\Windows\SysNative\dmwu.exe

[Andrey,pro]

есть изменения? C:\Windows\SysNative\dmwu.exe проверили на вирустотал?

[Tabrisk]

George Yves, В том-то и дело, что я перестал ставить крякнутые игры еще пару месяцев назад. Как и играть в них. А сканирование avast`а ничего не нашло. А тревожить он начал меня внезапно, единственное, что я, по сути, сделал -- установил еще одну игру в Стиме.

Andrey,pro,

Files\Folders moved on Reboot...
C:\Users\hp\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

https://www.virustotal.com/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/1357466029/

И все по-прежнему.

[Andrey,pro]

удалите этот файл: C:\Windows\SysNative\dmwu.exe
проверьте,создался ли файл хостс в C:\Windows\System32\drivers\etc\hosts
просканируйте компьютер утилитой D.web CureIt! http://www.freedrweb.com/cureit

[Tabrisk]

Andrey,pro,
1) Забыл упомянуть, папки "SysNative" у меня вообще нет, файл через поиск нашел в system32. Все равно удалять?
2) Да.
3) http://saveimg.ru/pictures/06-01-13/95efa0793f2ef6de84eaea847d0e6fe3.jpg Все файлы можно удалять/перемещать?

[Andrey,pro]

1. все равно удалите этот файл
3. все правильно,обезвреживайте.
Вы скрипт выполнили,после выполнения компьютер перезагрузился?

[Tabrisk]

Файл отказывается удаляться, выводит, что он открыт в "WebOptimizer", что это такое, понятие не имею, в поиске выводит только текстовый файл OTL, который в папке с exe-файлом программы. А перезагрузку после скрипта выполнял, да.

[Andrey,pro]

Я постарался найти и удалить весь мусор (Incredibar и др.) выполните пожалуйста снова скрипт

Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
SRV:[b]64bit:[/b] - (WebOptimizer) -- C:\Windows\SysNative\dmwu.exe ()
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredibar.com/mb139?a=6PQJfpwCn7&i=26
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6PQJfpwCn7&i=26
IE - HKCU\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX [2012.09.17 22:59:26 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox [2012.09.17 22:59:26 | 000,000,000 | ---D | M]
O2:[b]64bit:[/b] - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension64.dll ()
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll ()
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD)
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD)


:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

проблема еще осталось?аваст по-прежнему выдает предупреждение о заблокированной вирусной угрозе? вы сканирование авастом при загрузке делали?

[Tabrisk]

Спасибо огромное, последний скрипт помог!

[George Yves]

Andrey,pro
Вот тут у товарища тоже были проблемы с Incredibar: http://forum.avast.com/index.php?topic=112286

Чтобы не заморачиваться со скриптами, ему просто посоветовали использовать AdwCleaner.