Avast не находит вирусы

Non-English Boards Русский
1

Добрый вечер! Как и заявлено в теме, аваст у меня не находит вирусы, хотя есть явные симптомы: при попытке пройти по нужным ссылкам каждый 5-6 раз выскакивает посторонняя вкладка с рекламными или “веселыми” страницами. Если не успеваю ее во время закрыть, аваст сообщает, что “вредоносный url заблокирован”. Просканировала авастом при загрузке - ничего не нашлось. Просканировала утилитой CureIt от Dr. Web - только 2 файла, заявленные как подозрительные. После их удаления все симптомы остались. Загрузила утилиту Junkware Removal Tool. Файл с отчетом прилагаю. Хотелось бы понять, что обнаружил Junkware Removal Tool и можно ли теперь считать мой компьютер более-менее чистым.

2

Galina2013, здравствуйте и добро пожаловать на форум!

Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме.

Подготовьте остальные отчеты согласно инструкции: Логи для помощи в очистке компьютера от заражений:

Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!

3

Тем временем я, как и рекомендовано, загрузила MBAM и просканировала. Отчет прилагаю. Если я правильно поняла отчет МВАМ, там ничего не нашлось. А как насчет JRT? Как мне понимать содержимое первого отчета? Что там было?

4

По отчету JRT: были удалены временные файлы и пустые папки, главным отчетом для анализа зараженной системы является отчет программы OTL by OldTimer

5

Просканировала OTL. Отчеты в приложении. Проблема сохраняется - при переходе по ссылкам грузятся сайты, на которые срабатывает avast и выдает сообщение “вредоносный url заблокирован”.

6

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

7

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\eyfaqm9v.default\extensions\jid1-NrmV7T7ypWlEVCuc3X9vMWR3lIM@jetpack.xpi moved successfully.
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\5veygogf.default-1378868447920\extensions\jid1-NrmV7T7ypWlEVCuc3X9vMWR3lIM@jetpack.xpi moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\220.135\195.178\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-2955504976-444459841-3993071513-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1\http deleted successfully.
Starting removal of ActiveX control {67DABFBF-D0AB-41FA-9C46-CC0F21721616}
C:\Windows\Downloaded Program Files\DivXPlugin.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{67DABFBF-D0AB-41FA-9C46-CC0F21721616}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: user
->Temp folder emptied: 405564199 bytes
->Temporary Internet Files folder emptied: 887903341 bytes
->FireFox cache emptied: 84562543 bytes
->Google Chrome cache emptied: 20172512 bytes
->Flash cache emptied: 3283554 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1003852616 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 96868 bytes
RecycleBin emptied: 951505149 bytes

Total Files Cleaned = 3 201,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 11212013_200731

Files\Folders moved on Reboot…
C:\Users\user\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\user\AppData\Local\Temp~DFD2FFE6BBFCD68ABF.TMP not found!
File\Folder C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word~WRS2930.tmp not found!
C:\Users\user\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

8

Проблема осталась?

9

Пока не знаю. Посижу сегодня вечером и завтра в течение дня. Если что-нибудь опять всплывет - сразу напишу. Если не всплывет - напишу в конце завтрашнего дня, что все в порядке.

10

Добрый вечер, Андрей. Проблема ушла. Страницы грузятся, как на новом компьютере - т.е. быстро и без лишнего мусора. И это радует!!! Маленькая печалька: avast сообщил, что Flash Player и Adobe Air требуют обновления. Обновить не удалось: на сайте производителя либо кнопочка загрузки отжата, либо меня все время выбрасывает на главную страницу. На странице загрузки имеется указание, что мне, возможно, потребуется отключить антивирусную программу. Хорошо бы получить описание этого процесса по пунктам. А вообще спасибо - все очень круто почистилось!

11

Попробуйте загрузить Adobe Flash player с официального сайта: http://get.adobe.com/ru/flashplayer/otherversions/
Необходимо будет выбрать версию Вашей ОС и браузер, для которого необходимо обновить Flash player (IE или др. браузеры).
Примечание: не забудьте убрать галочку с загрузки McAfee Security Scan, если он Вам не нужен.
Если кнопка загрузки будет недоступна, то сделайте, пожалуйста, скриншот.
Adobe Air можно загрузить здесь: http://get.adobe.com/ru/air/
Чтобы отключить антивирус аваст, нажмите правой кнопкой мыши по значку аваст в трее и выберите Управление экранами аваст=>отключить на 10 минут.

12

Тем временем удалось загрузить обе программы из IE и Google Chrome. А из Firefox - никак (хотя это уже чисто спортивный интерес, но все же…). Прилагаю скрин загрузочной страницы ссылки, открытой в Firefox (в остальных браузерах, как уже было сказано, все работает).

13

Попробуйте отключить в firefox дополнение avast! Online Security, дело в том, что слева на сайте должны появиться шаги, после выполнения которых кнопка “загрузить” станет доступной.

14

Да, Андрей, после отключения дополнения кнопка стала доступной. Вот так после приятных упражнений потихоньку осваиваю новую версию avast…

15

Наверное вам стоит установить плагин AdBlock для блокировки рекламы. Чтобы вас не перекидывало на другие страницы. Дело не в вирусах=) Заблокируйте доступ рекламе. Есть AdBlock и AdBlock Plus? оба аналоги хороши собой! Avast! отлично защищает компьютер.

16

Вчера была проверка сканером Malwarebytes Anti-Malware.
Был найден вирус PUM.Hijack.StartMenu в реестре!!!
Есть вирус,который ворует пароли с компьютера.
Это вирус
PUM.Hijack.StartMenu
Про него хорошо написано на этом сайте–
http://forum.ruterk.com/index.php?topic=565.0
Написано где его найти и как в реестре изменить ключи на нормальные.
А так же для борьбы с ним лучше скачать сканер бесплатный с сайта–
http://www.malwarebytes.org/free/
И при его установки не ставить галочку в квадратиках нигде рядом с надписями!
Этот сканер находит этот вирус!
Пожалуйста на всякий пожарный случай проверьте реестр у себя!!
А вот AIS его почему-то не находит!!

17

MBAM определил это как нежелательную программу, но не как не вирус или троян
В Авасте поиск нежелательных программ включен был?

18

Не было там наверняка ни вируса, ни нежелательных программ
ivanovich, как всегда, параноит…

Где по указанной ivanovich ссылке написано, что PUM.Hijack.StartMenu ворует пароли?
И где вообще сам вирус (ни у ivanovich, ни у Southern нет конкретного указание на удалённый объект, ни на конкретные действия зловреда по воровству конфиденциальных данных). И вообще нет никаких намёков на борьбу с вирусом. Описана ситуация с незапускающимся антивирусом, вызванная, судя по дальнейшей информации в сообщении, проблемой с ключевым файлом (лицензией).

А что касается обнаруженных МБАМ изменений в реестре (из данных по ссылке), это штатные режимы стандартных ключей, применяемые для следующих настроек:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) → Плохо: (0) Хорошо: (1) → скрыть параметр “Выполнить” в меню " Пуск".
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) → Плохо: (0) Хорошо: (1) → скрыть параметр “Помощь” в меню " Пуск".
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) → Плохо: (1) Хорошо: (0) → убрать опцию “Выйти из системы” в меню " Пуск".
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) → Плохо: (1) Хорошо: (0) → Отключение оповещения центра безопасности (Security Center) об отсутствии антивируснй защиты.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) → Плохо: (1) Хорошо: (0) → Отключение оповещения центра безопасности (Security Center) об отсутствии файрволла
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) → Плохо: (1) Хорошо: (0) → Отключение оповещения центра безопасности (Security Center) об отключении автоматического обновления

то 99,99% это результат ручного отключения оповещений центра безопасности “на компьютере у бухгалтера” (большинство так называемых “админов” любят эту процедуру), плюс либо баловство с какими-нибудь твикерами- оптимизаторами, либо те же “админы” перемудрили с политиками безопасности - убрали из меню “Пуск” вызов справки, пункты “Выполнить” и “Выйти из системы”. На это у них ума хватило, а вникнуть в суть выведенной МБАМ информации по ключам реестра видимо нет…

ИМХО

19

Nikol@y
Вы уж на пенсионера не обижайтесь.
Я человек простой,не подкован как Вы.
Раз MBAM выдал отчёт по этому таракану,я ему и поверил.
Другие сканеры и антивирусник AIS ничего не нашли.
Сейчас MBAM проверил-молчит паразит!
Но,тогда почему Защитник Windows записал в Журнале событий в разделе Журналы приложений и служб-Microsoft-Windows-WindowsDefender-Operation-под кодом 1013 эту запись-
"ЗащитникWindows удалила журнал программы-шпиона или другой потенциально-нежелательной программы ?
Вы можете это явление объяснить ?
Сейчас зашёл в реестр.
HKCU-Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced
Поменял 1 на 0 в ключах –
Start_ShowMyComputer и Start_ShowMyDocs (восстановил как было раньше)
И просканировал опять сканером MBAM.
Прилагаю скрин.На нём видна угроза.
Как вы это можете объяснить?

20

Это не угроза. Ещё раз - это штатная настройка меню “Пуск”. Которое можно делать как непосредственно редактированием реестра

http://www.oszone.net/10959/start_menu#003

так и с помощью различных твикеров, которые в конечном счете также изменяют эти же параметры реестра.
Однако с изменив значения ключей с “1” на “0”, вы скрыли соответствующие пункты меню “Пуск”, (в данном случае “Компьютер” и
“Документы”), что не соответствует режиму “по умолчанию” (“заводским, рекомендуемым установкам”), о чём и сообщает МБАМ.

Это вы уж сами анализируйте, что за запись и на что выдал вам защитник. Но в вашем сообщений от 26.12.2013 http://forum.avast.com/index.php?topic=140419.msg1040740#msg1040740
нет и намёка на какие либо действия защитника Windows и я думаю, что это была реакция совсем на другой случай. Можно посмотреть журнал защитника …
http://www.oszone.net/10961/windows_defender#013
http://windows.microsoft.com/ru-ru/windows-vista/view-or-clear-the-history-in-windows-defender

P.S. Я кстати сам пенсионер, двое внуков уже … :slight_smile: