Проблема с URL:Mal

[REDACTED]

Добрый вечер.

Очень прошу помочь в решении проблемы удаления вируса URL:Mal.
Возник он буквально 3 дня назад, при скачивания записывающей программы Мирилисс Экшён. Аваст при скачке не выключал.
Аваст постоянно выпрыгивает и говорит что заблокировал вредоносный сайт/программу.
Выпрыгивание наблюдалось как и в браузере, так и без него.


Скрины:
http://gyazo.com/83a301cb146a20aa72d67a687cea0a7e
http://gyazo.com/d28b9ea6785e702eab5257ebf0df7230

Прошу помочь с проблемой. 

[Nikol@y]

partsdecisions, ссылку откуда скачали "программу Мирилисс Экшён" не дадите?

[Andrey,pro]

partsdecisions, здравствуйте и добро пожаловать на форум!

Подготовьте отчеты по инструкции: Логи для помощи в очистке компьютера от заражений и прикрепите их в следующем сообщении.

Примечание: пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как... выберите кодировку ANSI и сохраните. После этого прикрепите отчет на форуме

[REDACTED]

Вот и отчёты.

[Andrey,pro]

Скачайте AdwCleaner на Рабочий стол

• запустите AdwCleaner и нажмите кнопку Сканировать
  
• После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
  
  

[REDACTED]

Вот!

[Andrey,pro]

• Скачайте прикрепленный файл fix.txt на Рабочий стол
  
• запустите снова программу OTL by OldTimer и нажмите run fix
  
• OTL спросит о местонахождении файла fix.txt
  
• Выберите файл, который Вы загрузили, и снова нажмите run fix.
  
  
• Компьютер перезагрузится.
  
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
  

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

[REDACTED]

После перезагрузки, Аваст выскочил снова.






All processes killed
========== COMMANDS ==========
Restore point Set: OTL Restore Point
========== OTL ==========
C:\Users\German\AppData\Local\Google\Chrome\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
========== FILES ==========
C:\Users\German\AppData\Local\Google\Chrome\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\ProgramData\InstallMate\24C904AB\cfg folder moved successfully.
C:\ProgramData\InstallMate\24C904AB folder moved successfully.
C:\ProgramData\InstallMate folder moved successfully.
C:\ProgramData\praicaecuhuoP folder moved successfully.
C:\Program Files (x86)\praicaecuhuoP folder moved successfully.
C:\ProgramData\c32f326313481542 folder moved successfully.
C:\ProgramData\Adblocker folder moved successfully.
C:\Program Files (x86)\Adblocker folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\German\AppData\Local\Torch folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: German
->Temp folder emptied: 777827981 bytes
->Temporary Internet Files folder emptied: 350412093 bytes
->Java cache emptied: 8511 bytes
->Google Chrome cache emptied: 356634974 bytes
->Flash cache emptied: 2317 bytes
 
User: Guest
 
User: HomeGroupUser$
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 67312210 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33298 bytes
RecycleBin emptied: 968 bytes
 
Total Files Cleaned = 1 480,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 07112014_175538

Files\Folders moved on Reboot...
C:\Users\German\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\German\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\AvastLock.txt scheduled to be moved on reboot.
File\Folder C:\Windows\temp\TMP000000202C73D39E158A2FBD not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[Andrey,pro]

partsdecisions, когда сообщение от аваст снова появится, во всплывающем сообщении нажмите кнопку Подробнее и скопируйте содержимое адресной строки браузера в следующее сообщение.

[REDACTED]

http://www.avast.ru/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_vir=VVJMOk1hbA&p_prc=C:\Windows\System32\svchost.exe&p_obj=aHR0cDovL2dldHVzYWFhbGwuaW5mby8_ZT1wY2hvJmNodD0yJmRjdT0xJmNwYXRjaD0yJmRjcz0xJnBmPTEmdW5wPUF6bTlDZE9MdjdEVkR5eEVDeUZQZzd4OUFlMEtCZlVLQWU0TUJHMFZXem5MRGU0UEJOcTlnZUZJJnB1Ymxpc2hlcj03MjQmY291bnRyeT1MViZpbmQ9NjcxNjM1OTI1NjkzNjE1NjQ2OCZleGlkPTE0MDQ5MjQ5NTA4MDM0ODAyODEmc3NkPTE4Mjg2NDk1NDU0MTI5MDA0NDQmaGlkPTExNDc1Njg4MDcyOTA1MDgwNDgyJm9zaWQ9NjAxJmNoYW5uZWw9MCZzZng9MSZqYz0xJnV0aWQ9MyZjYXRlZ29yeV9uYW1lPVByaWNlQ2hvcE5QMiZpbnN0YWxsX2RhdGU9MjAxMzA3MDk&p_var=.%2Ffa%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=280&p_lid=ru-ru&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2021&p_hid=72fb9a49-8344-4a81-a06b-a79788e2a2ee&p_ram=12277&p_cpu=7%2C5

[Andrey,pro]

Это новый тип вируса, с этим должен справиться ComboFix 

Скачайте  ComboFix :
Ссылка 1
Ссылка 2
 
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
 
* ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее.  Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см.  здесь

• Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
  
• Примите соглашение и согласитесь на обновление, если программа попросит об этом

• После окончания, будет произведен отчет.
• Пожалуйста, прикрепите  C:\ComboFix.txt в следующем сообщении.
  

Примечания:
1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения

Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.

[REDACTED]

Пока проблема не наблюдалась. Заново включаю Аваст.

[Andrey,pro]

Если проблем больше нет, то:
1. Запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы.
2. Запустите AdwCleaner и нажмите кнопку Удалить.
3. Удаление ComboFix

• Нажмите клавишу Windows + R на клавиатуре. На экране появится диалоговое окно "Выполнить"
  
• В открывшемся окне введите ComboFix /Uninstall
   (Обратите внимание на пробел между "x" и "/")
  и нажмите OK
  
  
  
  
• Следуйте инструкциям на экране
• Должно появиться сообщение, подтверждающее, что ComboFix был удален

[REDACTED]

Большое спасибо, всё чисто и удалено.
Я на последок хотел бы спросить. У меня при запуске компа, врубаетса автоматом сайт. Это к Авасту не совсем относится, но это такая простая проблема, что я рискну спросить Не поможете ли вы?

[Andrey,pro]

Поможем 
Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.