Author Topic: Проблема заражение URL:Mal - не получается удалить вирус  (Read 351983 times)

0 Members and 1 Guest are viewing this topic.

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
Добрый вечер!  :)

Очень прошу помочь в решении проблемы удаления вируса URL:Mal. Все началось изза того что при скачивании фотошопа, я временно отключил Аваст и получил по заслугам: вирус. Аваст писал что ссылка вредоносная, но я посчитал это ошибочным поверив сайту скачивания что там нет вирусов.

Теперь уже больше недели постоянно при открытии браузеров Мозилла Файрфокс и Опера выскакивает сообщения Аваст о заражении. Никаких сайтов не блокируется из тех которыми я постоянно пользуюсь в том числе социальных сетей. Бывает это предупреждение Аваст выдает при листании страниц моих старых и проверенных сайтов но их не блокирует. В большинстве случаев ссылка в сообщении идет на процесс C:\Windows\system32\SHELL32.dll но это не всегда, иногда ссылается на экзешный файл бразура Опера.

Мной было пролистано в Гугле кучу сайтов по этой проблематике. Но нормального ответа так и не нашел. Сканирование Аваст в любом режиме не дает никаких результатов. Доктор Веб хотя и удалил некоторые вирусы но проблемы URL:Mal не решил.  Других антивирусов мной спробовано не было. Сегодня обновил версию Аваст и сделал полное сканирование компьютера но результата оно не дало, вирус продолжает жить :(

Оперционная система компьютера Виндовс 7 Ультимейт 64 бит СП1

Пользуюсь интивирусом Аваст уже несколько лет, надеюсь что мне все таки будет оказана посильная помощь в решении этой проблемы :)

Все необходимые отчеты прилагаю к этому сообщению

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
скриншоты

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
еще добавляю файлы, почемуто на сайте больше 4 сарзу нельзя опубликовать

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Dionisiy, здравствуйте и добро пожаловать на форум!

Запакуйте папки
Code: [Select]
C:\Users\Администратор\AppData\Roaming\smwdgt
C:\Program Files (x86)\smilfld
и загрузите на любой файлообменник (например, http://rghost.ru/) и укажите ссылку на загрузку файла в следующем сообщении.

Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!
 

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
 :)

http://rghost.ru/50363325

http://rghost.ru/50363441

сайчас аваст начал больше выкидывать сообщения о заражении  с ссылкой на процесс экзешных файлов браузеров :(

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
  • Скачайте прикрепленный файл fix.txt на Рабочий стол
  • запустите снова программу OTL by OldTimer и нажмите run fix
  • OTL спросит о местонахождении файла fix.txt
  • Выберите файл, который Вы загрузили, и снова нажмите run fix.
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
папка _OTL\MovedFiles у меня была не на диске С: а на диске D: файла mmddyyyy_hhmmss.log не нашел, но при загрузке сразу был открыт файл 11222013_220149
вот его содержимое и публикую тут :)

Теперь когда загружал браузер Опера аваст уже молчал :) щас еще буду пробовать работать в браузерах :)

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKEY_USERS\S-1-5-21-324034569-846724871-1184152779-500\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{71238372-3743-33ab-8a9f-93722af74c97}\chrome\content folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{71238372-3743-33ab-8a9f-93722af74c97}\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{71238372-3743-33ab-8a9f-93722af74c97} folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\defaults\preferences folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\defaults folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\skin folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\locale\en-us folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\locale folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\content folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml moved successfully.
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\hffpndpljemgdfjjkijcidbhadeiillo\1.2_0 folder moved successfully.
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\mocblcnaofikinigmceddfghppkkjbog\1.0.0.5\mz folder moved successfully.
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\mocblcnaofikinigmceddfghppkkjbog\1.0.0.5 folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5}\defaults\preferences folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5}\defaults folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5}\chrome\content folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5}\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{0634c8be-e700-47b3-9843-1695590313b5} folder moved successfully.
Prefs.js: itinfo%40new-come.ru:13.11.16O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found. removed from extensions.enabledAddons
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ scheduled to be deleted on reboot.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
========== FILES ==========
C:\Users\Администратор\AppData\Roaming\smwdgt folder moved successfully.
C:\Program Files (x86)\smilfld folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktopy.ru folder moved successfully.
C:\Program Files (x86)\desktopy folder moved successfully.
C:\Users\Администратор\AppData\Roaming\smw_inst moved successfully.
C:\Users\Администратор\AppData\Roaming\desktopy.ru folder moved successfully.
File\Folder C:\Users\Администратор\AppData\Roaming\File Scout not found.
C:\Users\Администратор\AppData\Roaming\eCyber\sysicons folder moved successfully.
C:\Users\Администратор\AppData\Roaming\eCyber folder moved successfully.
C:\Users\Администратор\AppData\Local\Opera\Opera\widgets\extension.oex moved successfully.
File\Folder C:\Users\Администратор\AppData\Roaming\closer.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Администратор
->Temp folder emptied: 5416797 bytes
->Temporary Internet Files folder emptied: 3743140 bytes
->Java cache emptied: 37038 bytes
->FireFox cache emptied: 52293373 bytes
->Opera cache emptied: 19236703 bytes
->Flash cache emptied: 58929 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1042 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69229 bytes
RecycleBin emptied: 24907764 bytes
 
Total Files Cleaned = 101,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 11222013_220149

Files\Folders moved on Reboot...
C:\Users\Администратор\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ scheduled to be deleted on reboot.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Пожалуйста, загрузите папку _OTL\MovedFiles на файлообменник, как это Вы делали ранее, и укажите ссылку на загрузку файла в следующем сообщении.

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
http://rghost.ru/50365055

работаю с браузерами, пока нет проблем, аваст молчит :)

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы.

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
 :) удалил программу, компьютер перезагрузился, открыл браузера, аваст полчит, кажись вирус убит :)

что делать с папкой _OTL\MovedFiles ее можно удалять с диска D ?

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Вы нажимали кнопку CleanUp? Эта папка должна была автоматически удалиться вместе с программой, но т.к. этого не произошло, то вручную удалите папку _OTL.

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
 :) все нормально я сразу не посмотрел, та папка была удалена, а архивную я удалил, которую на файлообменник кидал.

Все работает нормально, большое Вам спасибо, если снова возникнет эта проблема буду обращатся, реально помогли  8)

Offline Dionisiy

  • Newbie
  • *
  • Posts: 11
Привет! :)

К сожалению наш "друг" вернулся, правда в другой форме.
Почемуто он "прилепился" к браузеру Опера. Теперь когда я открываю любую страницу в опере выскакивает сообщение авасте о вирусе (скриншот прилагаю). Это началось несколько дней назад, сначала по немногу, а теперь любое открытие страниц браузера опера вызывает это сообщение.

Что примечательно, на другой браузер Мозилла Фаерфокс вирус вообще не реагирует, никаких сообщений аваста вообще небыло.

Проверка антивирусом аваст ничего не дала.

Прошу помочь :)


Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5016
  • Things happen
Dionisiy, какие расширения установлены в браузере опера?