Проблема заражение URL:Mal - не получается удалить вирус

[Andrey,pro]

User5314, здравствуйте!
Пожалуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме

[REDACTED]

User5314, здравствуйте!
Пожалуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме

Готово.

[Andrey,pro]

• Скачайте прикрепленный файл fix.txt на Рабочий стол
  
• запустите снова программу OTL by OldTimer и нажмите run fix
  
• OTL спросит о местонахождении файла fix.txt
  
• Выберите файл, который Вы загрузили, и снова нажмите run fix.
  
  
• Компьютер перезагрузится.
  
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
  

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

Скачайте AdwCleaner на Рабочий стол

• запустите AdwCleaner и нажмите кнопку Сканировать
  
• После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении

[REDACTED]

Текст из лог-файла OTL:

All processes killed
========== OTL ==========
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\skin\classic folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\skin folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\locale\en-US folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\locale folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\content folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-3486594306-2472324998-1109229179-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{405DFEAE-1D2F-4649-BE08-C92313C3E1CE} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{405DFEAE-1D2F-4649-BE08-C92313C3E1CE}\ not found.
Registry value HKEY_USERS\S-1-5-21-3486594306-2472324998-1109229179-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}\ not found.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: 1Guru
->Temp folder emptied: 166948839 bytes
->Temporary Internet Files folder emptied: 506391 bytes
->Java cache emptied: 625911 bytes
->FireFox cache emptied: 119923739 bytes
->Flash cache emptied: 57763 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57311 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Администратор
->Temp folder emptied: 232018 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 57472 bytes
 
User: Все пользователи
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 499614862 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69223 bytes
RecycleBin emptied: 537571888 bytes
 
Total Files Cleaned = 1 266,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 07072014_234123

Files\Folders moved on Reboot...
C:\Users\1Guru\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\1Guru\AppData\Local\Temp\~PI9E74.tmp not found!
File\Folder C:\Users\1Guru\AppData\Local\Temp\~PI9E75.tmp not found!
C:\Users\1Guru\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Лог-файл ADW прилагаю. Кнопку "Очистить" в ADW нажимать?

[Andrey,pro]

Да, в AdwCleaner нажмите кнопку Очистить.
Наблюдается ли сейчас проблема?

[REDACTED]

Да, в AdwCleaner нажмите кнопку Очистить.
Наблюдается ли сейчас проблема?

Здравствуйте. В данный момент - нет. Этот руткит размножается через съемные флеш-носители? Нужно ли проверить все флеш-карты через эти спец. утилиты?

[REDACTED]

Здравствуйте, у меня еще одно предупреждение http://www.avast.ru/lp-pr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_ise_90_0&utm_medium=prg_systray&utm_content=.%2Fpaid%2Fru-ru%2Fvirus-alert-default&p_vir=VVJMOk1hbA&p_prc=C:\Program%20Files%20(x86)\Mozilla%20Firefox\firefox.exe&p_obj=aHR0cDovLzM3LjEzOS41Mi41OC9vbGQucGhwP2E9MjcyMjc3JmM9am9iJj9fY2xpY2subGluazE&p_var=.%2Fpaid%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=125&p_lid=ru-ru&p_lng=ru&p_lqa=3&p_lqe=1&p_lst=0&p_lsu=12&p_pro=2&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2021&p_hid=8c357e08-f989-474a-bd2a-e040e1444509&p_ram=4079&p_cpu=8%2C1
На сайт попал по ссылке из письма вида хttp://yaodaocpc.org/_click.link1?kjcaqjv947717

[REDACTED]

Добрый вечер! 

Очень прошу помочь в решении проблемы удаления вируса URL:Mal. Все началось из-за того что при скачивании плагина восстановления фоток.

Теперь уже больше недели постоянно при открытии браузеров Мозилла Файрфокс и Опера выскакивает сообщения Аваст о заражении: URL   hxxp://getmuzicas.info/?e=pcho&cht=2&dcu=1&cpatch=2&dcs=1&pf=1&unp=Azm9CdOLv7DVDyxECyFPg7x9Ae0KBfUKAe4MBG0VWznLDe4PBNq9geFI&publisher=377&dd=4&country=RU&ind=7400914969704047112&exid=0&ssd=1909972603981823720&hid=5786491962584579540&osid=603&channel=0&sfx=1&jc=1&category_name=PriceChop&install_date=20130709
Заражение   URL:Mal

Процес: System32/svchost.exe

Оперционная система компьютера Win 8.1 Pro 64 бит

Пользуюсь интивирусом Аваст уже несколько лет, надеюсь что мне все таки будет оказана посильная помощь в решении этой проблемы

Все необходимые отчеты прилагаю к этому сообщению

[Andrey,pro]

Scrubber13, здравствуйте и добро пожаловать на форум!!

Пожалуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме

[REDACTED]

Scrubber13, здравствуйте и добро пожаловать на форум!!

Пожалуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме

В кодировке ANSI.
Большое спасибо за помощь!

[Andrey,pro]

Scrubber13, cкачайте AdwCleaner на Рабочий стол

• запустите AdwCleaner и нажмите кнопку Сканировать
  
• После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
  
  

[Andrey,pro]

Да, в AdwCleaner нажмите кнопку Очистить.
Наблюдается ли сейчас проблема?

Здравствуйте. В данный момент - нет. Этот руткит размножается через съемные флеш-носители? Нужно ли проверить все флеш-карты через эти спец. утилиты?

У Вас не было руткита, а было установлено вредоносное расширение Website recommendation.

Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы. Запустите программу AdwCleaner и нажмите кнопку Удалить для удаления программы и ее карантина.

Если Вы хотите проверить флэш-накопители на наличие вирусов, то можете воспользоваться следующей программой.

• Скачайте McShield на Рабочий стол и установите.
  
• Запустится первоначальное сканирование и результаты будут показаны во всплывающем окне около системных часов.
• Затем в центре управления выберите сканер и отметьте всегда отображать элементы на флэш-накопителях.
  
  
  
  
• Вставьте флэш-накопитель и MCShield начнет сканирование.

[REDACTED]

Scrubber13, cкачайте AdwCleaner на Рабочий стол

• запустите AdwCleaner и нажмите кнопку Сканировать
  
• После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
  
  
  

Отчет

[Andrey,pro]

Через Программы  и компоненты в Панели управления удалите программу eSupport UndeletePlus 3.0.3.521

В AdwCleaner уберите флажки со следующих обнаруженных объектов:

Code: [Select]

Папка Найдено : C:\Program Files (x86)\Mail.Ru

***** [ Реестр ] *****
Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]и нажмите кнопку Очистить.

Наблюдается ли проблема после очистки?

[REDACTED]

Здравствуйте, у меня тоже возникла проблема с этим вирусом: каждые 10-15 минут avast сообщает что обнаружена вирусная угроза "Веб экран Avast! Заблокирован вредоносный сайт либо файл. Заражение: URL:Mal Процесс:С\Windows\System32\svchost.exe. Полное сканирование, очистка браузера, исправление реестра ситуацию не исправляют. Help Help Help! Отчеты согласно инструкции прилагаются