getusaall URL:Mal

[REDACTED]

Здравствуйте!

У меня та же ситуация, что и у многих форумчан в последнее время - постоянно вылазит сообщение от аваста "Веб экран аваст заблокировал вредоносный сайт либо файл"

хттп //getusaaall.info/?e=svon&cht=2&dcu=1&cpatch=2&dcs=1&pf=1&unp=Azm9CdOLv7DV

Infection   URL:Mal


При нажатии на "подробнее" открывается эта страница - хттп//www.avast.com/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ua%2Fvirus-alert-default&p_vir=VVJMOk1hbA&p_prc=C:\WINDOWS\System32\svchost.exe&p_obj=aHR0cDovL2dldHVzYWFhbGwuaW5mby8_ZT1zdm9uJmNodD0yJmRjdT0xJmNwYXRjaD0yJmRjcz0xJnBmPTEmdW5wPUF6bTlDZE9MdjdEVkR5eEVDeUZQZzd4OUFlMEtCZlVLQWU0TUJHMFZXem5MRGU0UEJOcTlnZUZJJnB1Ymxpc2hlcj05NDUmZGQ9NCZjb3VudHJ5PVVBJmluZD03MTA0NjEyNjU1ODkwOTg2ODcmZXhpZD0xNDA0NDc2MDg3ODU2MzU3MjMxJnNzZD02MzEzOTk0ODUwMjIwNDk4MTEyJmhpZD0xMTAwNTU5OTY4MzIxNTU1NzAwMyZvc2lkPTUwMSZjaGFubmVsPTAmc2Z4PTEmamM9MSZjYXRlZ29yeV9uYW1lPVNhdmVPbjImaW5zdGFsbF9kYXRlPTIwMTMwNzA0&p_var=.%2Ffa%2Fru-ua%2Fvirus-alert-default&p_elm=7&p_lex=238&p_lid=ru-ua&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2021&p_hid=1f46e710-55f6-408a-9159-93179ac7f091&p_ram=3564&p_cpu=-1%2C0

при попытке обнаружить зараженный файл аваст ничего не находит. Подскажите, пожалуйста, как найти заразу.

прилагаю OTL лог

Спасибо заранее.

[Andrey,pro]

Stanley76, здравствуйте и добро пожаловать на форум!

Пожалуйста, пересохраните отчет OTL.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчет на форуме

[REDACTED]

сорри, вот перекодированный

[Andrey,pro]

• Скачайте прикрепленный файл fix.txt на Рабочий стол
  
• запустите снова программу OTL by OldTimer и нажмите run fix
  
• OTL спросит о местонахождении файла fix.txt
  
• Выберите файл, который Вы загрузили, и снова нажмите run fix.
  
  
• Компьютер перезагрузится.
  
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
  

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

Скачайте AdwCleaner на Рабочий стол

• запустите AdwCleaner и нажмите кнопку Сканировать
  
• После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении

[REDACTED]

OTL репорт:


All processes killed
========== OTL ==========
HKU\S-1-5-21-1390067357-1637723038-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-21-1390067357-1637723038-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-21-1390067357-1637723038-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{15a0413e-9f45-4d45-9a75-2c20b15b5b51} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15a0413e-9f45-4d45-9a75-2c20b15b5b51}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Админ\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Админ\Application Data\bearsharetoolbargaw folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admin
->Temp folder emptied: 25214 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 2084274 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Админ
->Temp folder emptied: 3537411 bytes
->Temporary Internet Files folder emptied: 3580420 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 24423222 bytes
->Google Chrome cache emptied: 171340401 bytes
->Flash cache emptied: 291 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3850829 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 82139 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 1126861 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 98811378 bytes
 
Total Files Cleaned = 295,00 mb
 
Unable to start System Restore Service. Error code 5
 
OTL by OldTimer - Version 3.2.69.0 log created on 07072014_210915

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\_avast_\Webshlock.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...



--------------------------------------
ADW Cleaner report - в аттаче

[Andrey,pro]

В AdwCleaner уберите флажки со следующих найденных объектов:

Code: [Select]

Папка Найдено : C:\Documents and Settings\Админ\Local Settings\Application Data\Mail.Ru
Файл Найдено : C:\Documents and Settings\Админ\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\.autoregи нажмите кнопку Очистить.

Сообщите в следующем сообщении, наблюдается ли проблема или нет.

[sergofun]

Stanley76, исправьте в своем первом сообщении ссылку на getusaall, сделав ее некликабельной, например так: хttp://getusaaall.info

[REDACTED]

проблема решилась, спасибо Вам большущее, Andrey!!!

ссылки в 1ом сообщении подправила.

[Andrey,pro]

Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы. Запустите AdwCleaner и нажмите кнопку Удалить для удаления программы и ее карантина.

[REDACTED]

OTL и AdwCleaner удалила, как я понимаю, Malwarebytes Anti-Malware можно оставить?

и еще в папке С:\\WINDOWS\Prefetch есть файлы ADWCLEANER_3.214 (1).EXE-353EF62D.pf и ADWCLEANER_3.214.EXE-032DDF0F.pf - их удалить или не нужно?

[Andrey,pro]

Malwarebytes Anti-Malware можете оставить в качестве сканера по требованию и проводить проверку компьютера хотя бы раз в месяц. В папке Prefetch можно ничего не трогать.

[REDACTED]

ok, спасибо большое еще раз, Вы действительно очень помогли!!

[Andrey,pro]

Всегда пожалуйста, рад был помочь