Author Topic: Проблема заражение URL:Mal - не получается удалить вирус  (Read 410863 times)

0 Members and 2 Guests are viewing this topic.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Хмм... Не могли бы вы подключить к роутеру только этот ноутбук?

Так же запустите снова программу FRST и в поле Search введите следующее:

wpad

и нажмите кнопку 'Search Registry', после окончания поиска будет создан файл Search.txt, пожалуйста, прикрепите его к следующему сообщению.

REDACTED

  • Guest
Хмм... Не могли бы вы подключить к роутеру только этот ноутбук?

Сначала я подключился по 3G через соединение по USB с телефоном. Avast молчал и при запуске Google Chrome, и FRST. Сделал поиск, результат в SearchReg-3G.txt

Затем я подключил ноутбук кабелем к тому роутеру, который стоит первым на кабеле от провайдера (это DIR-320 с прошивкой dd-wrt, на нём запущен DHCP). Сразу же, не дожидаясь запуска каких-либо программ, Avast ругнулся на svchost.exe, а после запуска FRST - и на него тоже. Сделал поиск, результат в SearchReg-LAN.txt

REDACTED

  • Guest
Пока я писал предыдущее сообщение, выскочило оповещение Windows очень странного характера - прилагаю скриншот.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Dmitrii Netsurfer, я не вижу никаких следов заражения на вашем компьютере, чтобы убедиться, что проблема в роутере, подключите кабель провайдера напрямую к ноутбуку и проверьте, будет ли наблюдаться проблема.

REDACTED

  • Guest
Хмм... Не могли бы вы подключить к роутеру только этот ноутбук?

Сначала я подключился по 3G через соединение по USB с телефоном. Avast молчал и при запуске Google Chrome, и FRST. Сделал поиск, результат в SearchReg-3G.txt

Затем я подключил ноутбук кабелем к тому роутеру, который стоит первым на кабеле от провайдера (это DIR-320 с прошивкой dd-wrt, на нём запущен DHCP). Сразу же, не дожидаясь запуска каких-либо программ, Avast ругнулся на svchost.exe, а после запуска FRST - и на него тоже. Сделал поиск, результат в SearchReg-LAN.txt

У меня сегодня аваст секьюрити тоже раза три ругнулся на какую то ссылку, причем не на  ту страницу, на которой я находился в это время!

Offline KOMMIKs

  • Jr. Member
  • **
  • Posts: 63
Добрый день!

2 недели назад AVAST Antivirus free начал сообщать о блокировании угрозы URL:mal
Причём как на ноутбуке, так и на ПК, объединенным в одну сеть по WiFi. Связываю это с использованием одинакового аккаунта Google Chrome, и установленным в последнее время расширением friGate CDN (использовалось для обхода блокировки торрент-трекеров). Ни какие другие программы не устанавливались.

Для устранения угрозы запускал AVAST в режиме проверки до загрузки - не помогло.
Снёс Google Chrome, потом поставил его без входа в аккаунт, без расширений.



Проблема не решена.

Часто (открытие нового сайта, вкладки в Google Chrome)
Объект
hттp://sso.anbtr.com/domain/195.22.26.248
Заражение
URL:mal
Процесс
C:\Windows\System32\svchost.exe

Реже - в других программах
(например, после всплывающего сообщения из трея о наличии обновления Java)
Объект
hттp://sso.anbtr.com/domain/wpad.WORK
Заражение
URL:mal
Процесс
C:\Program Files\Java\jre1.8.0_91\bin\jp2launcher.exe

как вариант прбежаться по следующим пунктам:
1. Проверить свойства ярлыка браузера (на панели задач если висит св-ва просмотреть его так же) в пуске тоже проверить,
Объект: D:\Soft\GoogleChrome\GoogleChrome.exe
Рабочая папка: D:\Soft\GoogleChrome  не должно быть никаких http://xxx.xx
так должно быть в св-ах файла ярлыка браузера (папка у вас другая конечно же)
2. посмотреть внутри папки браузера GoogleChrome (в св-ах нажать "Расположение файла" подозрительных файлов не должно быть)
3. видимо сайт на который вы вошли использует плагин Ява/java и он активировался. Рекомендую отключить в настройках явы проверку, а доверить это Авасту в Пунке Санирование - сканирование на наличие устаревшего ПО и там обновить яву.
4. в настройках браузера проверить не стоит ли у вас замененная "домашняя страница"?
OS: Win XP x86 SP3 & Win 7 x64 SP1  Real Time: AIS 22.2.2262 (1PC-2nd year), Avast Free 12.3.2280 (build 12.3.3154.19), Avast Mobile Security Premium 4.0.8138 / Firefox 48 (AOS/ASP), Avast SZB, CCleaner Free 5.21.5700 (64-bit) On Demand: ASU, FileHippo Update Checker, PortableApps

REDACTED

  • Guest
Dmitrii Netsurfer, я не вижу никаких следов заражения на вашем компьютере, чтобы убедиться, что проблема в роутере, подключите кабель провайдера напрямую к ноутбуку и проверьте, будет ли наблюдаться проблема.
При подключении кабеля провайдера напрямую к ноутбуку проблема, действительно, не наблюдается. Тестировал 2 дня.

Роутер возвращал к заводским настройкам (reset 30-30-30), настройки вводил вручную - не помогло.
Роутер перепрошил прошивкой с сайта dd-wrt - снова не помогло, AVAST детектирует активность (скриншот приложен).

REDACTED

  • Guest

как вариант прбежаться по следующим пунктам:
1. Проверить свойства ярлыка браузера (на панели задач если висит св-ва просмотреть его так же) в пуске тоже проверить,
Объект: D:\Soft\GoogleChrome\GoogleChrome.exe
Рабочая папка: D:\Soft\GoogleChrome  не должно быть никаких http://xxx.xx
так должно быть в св-ах файла ярлыка браузера (папка у вас другая конечно же)
2. посмотреть внутри папки браузера GoogleChrome (в св-ах нажать "Расположение файла" подозрительных файлов не должно быть)
3. видимо сайт на который вы вошли использует плагин Ява/java и он активировался. Рекомендую отключить в настройках явы проверку, а доверить это Авасту в Пунке Санирование - сканирование на наличие устаревшего ПО и там обновить яву.
4. в настройках браузера проверить не стоит ли у вас замененная "домашняя страница"?

Прежде всего напомню, что AVAST ругается не только на Google Chrome, но и практически на все программы, связанные с приемом данных из Сети - Skype, Download Master. Даже при закрытом браузере ругается на svchost.exe.

По пунктам пробежался.
1. "C:\Program Files\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1" - не подозрительно
2. В папке "C:\Program Files\Google\Chrome\Application" - сам Хром, 2 манифеста в формате xml, файл "master_preferences" с содержанием
{
  "distribution": {
    "skip_first_run_ui": true,
    "show_welcome_page": true,
    "import_search_engine": false,
    "import_history": false,
    "create_all_shortcuts": true,
    "do_not_launch_chrome": true,
    "make_chrome_default": false,
    "verbose_logging": false
  },
  "disable_video_chat" : true
}

3. Java обновляется регулярно и AVAST говорит что установлена последняя версия.

4. в chrome://settings/ - "При запуске открывать новую вкладку", что и происходит.

Проявлений вируса (внезапных переадресаций, непонятных баннеров и т.п.) я не вижу. Но и игнорировать тревогу от AVAST не хочется. Когда это началось и я установил антивирус AVG, он тоже орал, но не называл конкретно, что это вирус URL:MAL.

Итак, какие будут предложения по вариантам лечения?

Offline KOMMIKs

  • Jr. Member
  • **
  • Posts: 63
Прежде всего напомню, что AVAST ругается не только на Google Chrome, но и практически на все программы, связанные с приемом данных из Сети - Skype, Download Master. Даже при закрытом браузере ругается на svchost.exe.

По пунктам пробежался.
1. "C:\Program Files\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1" - не подозрительно
4. в chrome://settings/ - "При запуске открывать новую вкладку", что и происходит.

Проявлений вируса (внезапных переадресаций, непонятных баннеров и т.п.) я не вижу. Но и игнорировать тревогу от AVAST не хочется. Когда это началось и я установил антивирус AVG, он тоже орал, но не называл конкретно, что это вирус URL:MAL.

Итак, какие будут предложения по вариантам лечения?
1. проверить чистоту файла C:\Windows\System32\drivers\etc
Если там есть другие странные сайты, то выполнить обновление
2. Profile 1 хм, может содержать файлы в папке,которые и посылают запросы.
3. Хром обновлен? Версия 52.0.2743.116 - в адресную строку браузера Хром: chrome://help/
4. Попробуйте выполнить сброс настроек браузера, в адресную строку хрома набрать: chrome://settings/resetProfileSettings
5. просканировать malwarebytes
Установите программу (уберите флажок с пункта "Включить бесплатный тестовый период MBAM PRO"), затем нажмите Завершить.
Дождитесь окончания обновления, затем перейдите в меню Параметры > Detection and Protection и установите флажок напротив "Проверки руткитов".
Перейдите на Панель мониторинга и нажмите на кнопку "Сканировать сейчас".
Если в ходе сканирования будут обнаружены угрозы, нажмите кнопку Применить действия, MBAM попросит перезагрузить компьютер, согласитесь на перезагрузку.
После окончания сканирования (или после перезагрузки) выберите Export Log > Текстовый файл (*.txt) и сохраните на Рабочем столе.
Прикрепите этот отчет в следующем сообщении.
6. Почистить Ccleaner'ом
7. Создать нового пользователя в системе и загрузиться им.
« Last Edit: August 12, 2016, 07:20:57 AM by KOMMIKs »
OS: Win XP x86 SP3 & Win 7 x64 SP1  Real Time: AIS 22.2.2262 (1PC-2nd year), Avast Free 12.3.2280 (build 12.3.3154.19), Avast Mobile Security Premium 4.0.8138 / Firefox 48 (AOS/ASP), Avast SZB, CCleaner Free 5.21.5700 (64-bit) On Demand: ASU, FileHippo Update Checker, PortableApps

REDACTED

  • Guest
Добрый день,

Позавчера столкнулся с проблемой URL:Mal. При попытке выйти на сайт Aliexpress из под поисковика Google, через рекламный результат поиска, через любой браузер (использую Chrome, Avast SafeZon Brovser, попробовал через MS Edge) выходит сообщение от Avast IS о заражении вирусом и блокировке. Пока не пускает только по данной рекламной Google-поисковой ссылке, через остальные поисковики всех браузеров и по прямому входу на aliexpres через его URL никаких сообщений не выскакивает. Но боюсь, что вирус начнёт распространяться, да и работать на компьютере, на котором есть шпионское ПО, которое может перехватывать вводимую информацию - небезопасно. Да, ещё при попытке захода на  сайт Вконтакте у меня запрашивали телефон для разблокировки акаунта, при чём на старом интерфейсе сайта, телефон не ввёл, т.к. очевидно что это ловушка. После сканирования Anti-Malware, Adwcleaner и чистки ССleaner реестра и данных браузеров, запросы при входе на vc.com пропали, но на aliexpress, через рекламу в поисковике, всё равно выскакивает сообщение о блокировке. Так же нашёл и удалил через установку-удаление программ приложение MCAfee Internet security, которое я не устанавливал, в хроме так же имелась надстройка этого приложения, её тоже удалил. В Host-файле чисто.

Сканировал систему Anti-Malware, Adwcleaner, FRST, aswMBR, Dr.Web Cruelt и Avastом через загрузку. Adwcleaner нашёл папку с ярлыком приложения которое, как я полагаю, могло стать причиной заражения, т.к. при его установке я несколько раз убирал галки с установки левого софта от яндекс и mail.ru. Папку удалил, лог сохранил но по причине ограничения вложений вставить его не могу, вставлю в следующее сообщение. После удаления папки Adwcleaner ничего не находил.

В интернет пробовал входить через роутер и через точку доступа телефона. Никаких изменений. 

Собрал логи по инструкции https://forum.avast.com/index.php?topic=130898.0 и прикрепил скриншот из Хрома. Всплывающие в других браузерах сообщения ссылаются на запускной .exe-файл браузера, через который я пытаюсь войти на страницу.

REDACTED

  • Guest
Лог AdwCleaner.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
salmivas, здравствуйте и добро пожаловать на форум!

Прикрепите еще, пожалуйста, файл FRST.txt.

REDACTED

  • Guest
FRST во вложении.

Удалил Google Chrome, почистил остатки СCleaner после него. Попытался войти (на Aliexpress) по рекламной ссылке поисковика Google, браузера Avast SafeZone, опять блокировка с всплывающим сообщением, только процесс теперь SZBrowser.exe. Пробовал входить по рекламным ссылкам ссылкам Bing и Yandex-поисковиков - всё нормально входит, сообщения не всплывают.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
salmivas,
  • Сохраните прикрепленный файл fixlist.txt на Рабочем столе
  • Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

REDACTED

  • Guest
Andrey,pro,

Лог во вложении.