Author Topic: Вредоносный URL-Адрес БЛОКИРОВАН  (Read 5475 times)

0 Members and 1 Guest are viewing this topic.

Ponchuk_3d

  • Guest
Вредоносный URL-Адрес БЛОКИРОВАН
« on: August 15, 2013, 06:27:31 AM »
Здравствуйте. Такая проблема - при открытии браузера (любого) всплывает сообщение от Avast! о блокировке вредоносного URL-Адреса
Детали заражения
URL:   http:*//lexmarktheres.biz/?c
Процесс:   C:\WINDOWS\system32\SHELL32.dll
Инфекция:   URL:Mal

Помогите!
« Last Edit: August 15, 2013, 07:56:43 AM by Ponchuk_3d »

Offline _George_

  • Avast Sales Specialist
  • Avast Reseller
  • Massive Poster
  • *
  • Posts: 3545
  • Дистрибьютор Avast и AVG
    • www.belrus.net
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #1 on: August 15, 2013, 06:47:40 AM »
Подготовьте логи, согласно ссылки: http://forum.avast.com/index.php?topic=130898.0
« Last Edit: August 15, 2013, 08:04:30 AM by George_S »
www.belrus.net - Avast Distributor & AVG Distributor in Russia

Offline sergofun

  • Avast Evangelist
  • Super Poster
  • ***
  • Posts: 1607
  • Hello, world>_
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #2 on: August 15, 2013, 07:53:26 AM »
Ponchuk_3d, чтобы никто нечаянно не нажал не заразил свой ПК по Вашей вине, удалите ссылку из сообщения. Приведите ее к некликабельному виду, например так: хттп://lexmarktheres.biz/?c

Ponchuk_3d

  • Guest
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #3 on: August 15, 2013, 08:03:06 AM »
Вот

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #4 on: August 15, 2013, 08:19:13 AM »
Ponchuk_3d, залейте на какой-нибудь файлообменик (например, http://rghost.ru/ ) содержимое папки C:\Program Files\smwdgt и укажите ссылку на загрузку файла в следующем сообщении.

P.s Это ваше?
Code: [Select]
C:\WINDOWS\tasks\Резервная копия реестра.job
« Last Edit: August 15, 2013, 08:30:17 AM by Andrey,pro »

Ponchuk_3d

  • Guest
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #5 on: August 15, 2013, 08:32:22 AM »
да


Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #7 on: August 15, 2013, 09:57:49 AM »
Ponchuk_3d, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]
:OTL
IE - HKU\S-1-5-21-507921405-1500820517-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq
[2013.08.15 01:00:42 | 000,000,000 | ---D | M] (System Security Application) -- C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\qnhwy8bp.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5}
[2013.08.15 00:59:04 | 000,000,000 | ---D | M] (ExSmile v13.8.14) -- C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\qnhwy8bp.default\extensions\itapp@smile-life.ua
CHR - default_search_provider:  ()
CHR - default_search_provider: search_url =
CHR - default_search_provider: suggest_url =
O4 - Startup: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Schedule Games Browser.lnk =  File not found
O4 - Startup: C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\Zaxar Games Browser.lnk =  File not found
@Alternate Data Stream - 125 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5CA670B8
@Alternate Data Stream - 122 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:44504F07

:Files
C:\Documents and Settings\Admin\Application Data\smw_inst
C:\Documents and Settings\Admin\Application Data\closer.exe
C:\Documents and Settings\Admin\Application Data\smwdgt
C:\Program Files\smwdgt
C:\Documents and Settings\Admin\Local Settings\Application Data\Opera\Opera\widgets\extension.oex

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

После выполнения скрипта и перезагрузки залейте на файлообменик папку C:\_OTL\MovedFiles и укажите ссылку на загрузку файла в следующем сообщении. Сообщите, как ведет себя компьютер, появляются ли сообщения от аваст о блокировке вредоносного URL-адреса.

Ponchuk_3d

  • Guest
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #8 on: August 15, 2013, 10:40:32 AM »
После нажатия "Run Fix", программа OTL by OldTimer зависает

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #9 on: August 15, 2013, 10:45:58 AM »
Ponchuk_3d, выполните скрипт OTL в безопасном режиме.

Ponchuk_3d

  • Guest
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #10 on: August 15, 2013, 11:20:46 AM »
http://files.mail.ru/31243E45ABFA47018C230EAD563AC652
 
На данный момент сообщения о блокировке пропали.
Вечером отпишусь еще раз, если возникнут проблемы.Спасибо за помощь!
« Last Edit: August 15, 2013, 11:31:38 AM by Ponchuk_3d »

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Re: Вредоносный URL-Адрес БЛОКИРОВАН
« Reply #11 on: August 15, 2013, 11:34:08 AM »
Да, понаблюдайте, по отчетам сейчас все в порядке.
« Last Edit: August 15, 2013, 11:37:45 AM by Andrey,pro »