Author Topic: Проблема заражение URL:Mal - не получается удалить вирус  (Read 400936 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Простите, что отвлёк вас от важных дел, но я спрашивал у тех, кто знает что-то более , чем "удали/снеси".
Я вас не понимаю... Антивирусник говорит: "Бяка"! А вы пытаетесь узнать можно ли "эту бяку есть, если очень хочется"... Зачем? Просто тупо забудьте про это расширение, при условии если без него всё нормально.
Если вам нужен ответ: "Да это ложное срабатывание - спокойно пользуйтесь приложением дальше!" - могу дать и такой ответ, но устроит ли он вашу "безопасность"? В таком деле лучше "перебздеть" (хотя бы для начала)...
« Last Edit: June 22, 2016, 09:53:06 PM by Goga 525iA »

REDACTED

  • Guest
Укажите, пожалуйста, ссылку, которую блокирует антивирус, только сделайте ее некликабельной, например, заменив http:// на hxxp://
Аваст указывал на процесс браузера dragon.exe и расширение браузера Speed Dial.

Дело в том, что я попробовал отключить некоторые расширения и после отключения и удаления Comodo Share Page Service и отключения Comodo Drag&Drop Service, проблема исчезла. Авас тих,бодр и спокоен , уже несколько дней.
Мне кажется, что проблема решена. :)

REDACTED

  • Guest
Добрый день!

2 недели назад AVAST Antivirus free начал сообщать о блокировании угрозы URL:mal
Причём как на ноутбуке, так и на ПК, объединенным в одну сеть по WiFi. Связываю это с использованием одинакового аккаунта Google Chrome, и установленным в последнее время расширением friGate CDN (использовалось для обхода блокировки торрент-трекеров). Ни какие другие программы не устанавливались.

Для устранения угрозы запускал AVAST в режиме проверки до загрузки - не помогло.
Снёс Google Chrome, потом поставил его без входа в аккаунт, без расширений.

Ставил Kaspersky - ничего не обнаружено. Снёс.
Ставил AVG - нашел пару троянцев в старых, не использовавшихся несколько лет, пиратских кейгенах. Кейгены удалил, AVG сейчас работает параллельно с AVAST.
Записал DrWeb CureIt на загрузочную флешку, просканировал, ещё что-то по мелочи было исправлено (включая файл hosts, кторый содержал только блокировку доступа к сайтам adobe и телеметрии Microsoft).

Сегодня установил на ноутбук и прогнал MBAM, лог в приложении.

Проблема не решена.

Часто (открытие нового сайта, вкладки в Google Chrome)
Объект
hттp://sso.anbtr.com/domain/195.22.26.248
Заражение
URL:mal
Процесс
C:\Windows\System32\svchost.exe

Реже - в других программах
(например, после всплывающего сообщения из трея о наличии обновления Java)
Объект
hттp://sso.anbtr.com/domain/wpad.WORK
Заражение
URL:mal
Процесс
C:\Program Files\Java\jre1.8.0_91\bin\jp2launcher.exe

Добавил лог FRST.
Добавил лог aswMBR.
« Last Edit: July 24, 2016, 03:03:49 PM by Dmitrii Netsurfer »

REDACTED

  • Guest
2 Dmitrii Netsurfer
Замените пожалуйста прямые ссылки http:// на, например, httх://, таким образом сделав их некликабельными. У нас на сервере так принято с возможными вирусными угрозами по ссылкам.

REDACTED

  • Guest
2 Dmitrii Netsurfer
Замените пожалуйста прямые ссылки http:// на, например, httх://, таким образом сделав их некликабельными.
Заменил. Могу ли я рассчитывать на помощь в моём случае. После лечения ноутбука ещё рассчитывал вылечить PC. Переустанавливать 2 windows совсем не хочется - много специфичного софта хорошо стоит.

REDACTED

  • Guest
Могу ли я рассчитывать на помощь в моём случае?
Думаю что можете. Просто на выходных тут мало людей.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Dmitrii Netsurfer, здравствуйте и добро пожаловать на форум!

Внимание! У вас установлено несколько антивирусных программ: Avast и Avg. Использование нескольких антивирусов может привести к взаимным конфликтам, нестабильности работы ОС. Пожалуйста, удалите один из антивирусов.

Запустите снова программу FRST и в поле Search введите следующее:

sso.anbtr.com;wpad.work

и нажмите кнопку 'Search Registry', после окончания поиска будет создан файл Search.txt, пожалуйста, прикрепите его к следующему сообщению.

Offline vlad98

  • Advanced Poster
  • **
  • Posts: 838
Связываю это с использованием одинакового аккаунта Google Chrome, и установленным в последнее время расширением friGate CDN (использовалось для обхода блокировки торрент-трекеров). Ни какие другие программы не устанавливались.
Tor-браузер в руки. С его помощью скачиваете торрент, далее как обычно. Никакие пишется слитно ... на будущее.

REDACTED

  • Guest
Dmitrii Netsurfer, здравствуйте и добро пожаловать на форум!
Пожалуйста, удалите один из антивирусов.
Запустите снова программу FRST и в поле Search введите следующее:
sso.anbtr.com;wpad.work
и нажмите кнопку 'Search Registry', после окончания поиска будет создан файл Search.txt, пожалуйста, прикрепите его к следующему сообщению.

Удалил AVG.
Запустил FRST, сразу же AVAST ругнулся, что процесс является источником вирусной активности.
Результат поиска (SearcReg.txt) во вложении.

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
Dmitrii Netsurfer, повторите, пожалуйста, все действия с FRST с отключенным антивирусом Avast. Не забудьте включить антивирус после окончания сканирования.

REDACTED

  • Guest
Dmitrii Netsurfer, повторите, пожалуйста, все действия с FRST с отключенным антивирусом Avast. Не забудьте включить антивирус после окончания сканирования.
Результат аналогичный.
Все логи FRST во вложении.
Кстати, даже загруженный только что по прямой ссылке FRST.exe при первом запуске (и не выключенном AVAST) вызывает тревогу - см. скриншот.
« Last Edit: July 27, 2016, 12:25:34 AM by Dmitrii Netsurfer »

REDACTED

  • Guest
Заражены новые процессы:
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Internet Explorer\ielowutil.exe
C:\Windows\System32\msfeedssync.exe

Стучится вирус в этих случаях в
hттp://sso.anbtr.com/domain/wpad.WORK

Offline Andrey,pro

  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5012
  • Things happen
  • Сохраните прикрепленный файл fixlist.txt на Рабочем столе
  • Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

Если выходите в интернет через роутер, сбросьте настройки роутера к заводским и настройте заново.

REDACTED

  • Guest
Если выходите в интернет через роутер, сбросьте настройки роутера к заводским и настройте заново.
Прошу разъяснить, какие именно настройки сбросить? У меня на маршрутизаторе Интернет приходит по PPPoE, а на подключенном к нему с port forwarding wifi-роутере беспроводной сигнал раздается на ноутбук. С учетом нестандартных VLANs, закрепления IP за десятком устройств, MAC-фильтрации детских планшетов, специальных настроек для NAS... настраивать заново ВСЁ ну очень не хотелось бы. Маршрутизатор и точка доступа защищены криптостойкими паролями, вероятность заражения вирусом типа elan минимальная, адреса при доступе в Сеть в браузере не подменяются, "левые" баннеры не показываются. Только Avast постоянно орёт, что "Вирусная угроза обнаружена" от запускаемых программ и процесса svchost.exe.
« Last Edit: July 28, 2016, 12:29:32 AM by Dmitrii Netsurfer »

REDACTED

  • Guest
  • Сохраните прикрепленный файл fixlist.txt на Рабочем столе
  • Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Лог приложен.
Маршрутизатор и wifi я отключил, в Интернет вышел по 3G, и хотел бы получить более точную информацию о тех разделах настроек роутера, которые нужно стереть.
Avast молчит!