getusaall URL:Mal

Non-English Boards Русский
1

Здравствуйте!

У меня та же ситуация, что и у многих форумчан в последнее время - постоянно вылазит сообщение от аваста “Веб экран аваст заблокировал вредоносный сайт либо файл”

хттп //getusaaall.info/?e=svon&cht=2&dcu=1&cpatch=2&dcs=1&pf=1&unp=Azm9CdOLv7DV

Infection URL:Mal

При нажатии на “подробнее” открывается эта страница - хттп//www.avast.com/lp-fr-virus-alert?p_ext=&utm_campaign=Virus_alert&utm_source=prg_fav_90_0&utm_medium=prg_systray&utm_content=.%2Ffa%2Fru-ua%2Fvirus-alert-default&p_vir=VVJMOk1hbA&p_prc=C:\WINDOWS\System32\svchost.exe&p_obj=aHR0cDovL2dldHVzYWFhbGwuaW5mby8_ZT1zdm9uJmNodD0yJmRjdT0xJmNwYXRjaD0yJmRjcz0xJnBmPTEmdW5wPUF6bTlDZE9MdjdEVkR5eEVDeUZQZzd4OUFlMEtCZlVLQWU0TUJHMFZXem5MRGU0UEJOcTlnZUZJJnB1Ymxpc2hlcj05NDUmZGQ9NCZjb3VudHJ5PVVBJmluZD03MTA0NjEyNjU1ODkwOTg2ODcmZXhpZD0xNDA0NDc2MDg3ODU2MzU3MjMxJnNzZD02MzEzOTk0ODUwMjIwNDk4MTEyJmhpZD0xMTAwNTU5OTY4MzIxNTU1NzAwMyZvc2lkPTUwMSZjaGFubmVsPTAmc2Z4PTEmamM9MSZjYXRlZ29yeV9uYW1lPVNhdmVPbjImaW5zdGFsbF9kYXRlPTIwMTMwNzA0&p_var=.%2Ffa%2Fru-ua%2Fvirus-alert-default&p_elm=7&p_lex=238&p_lid=ru-ua&p_lng=ru&p_lqa=0&p_lqe=0&p_lst=0&p_lsu=24&p_pro=0&p_bld=empty&p_vep=9&p_ves=0&p_vbd=2021&p_hid=1f46e710-55f6-408a-9159-93179ac7f091&p_ram=3564&p_cpu=-1%2C0

при попытке обнаружить зараженный файл аваст ничего не находит. Подскажите, пожалуйста, как найти заразу.

прилагаю OTL лог

Спасибо заранее.

2

Stanley76, здравствуйте и добро пожаловать на форум!

Пожалуйста, пересохраните отчет OTL.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как… выберите кодировку ANSI и сохраните. После этого прикрепите отчет на форуме

3

сорри, вот перекодированный

4

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

[*]Компьютер перезагрузится.
[*]После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

Скачайте AdwCleaner на Рабочий стол

[*]запустите AdwCleaner и нажмите кнопку Сканировать
[*]После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении

https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1

5

OTL репорт:

All processes killed
========== OTL ==========
HKU\S-1-5-21-1390067357-1637723038-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar| /E : value set successfully!
HKU\S-1-5-21-1390067357-1637723038-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!
HKU\S-1-5-21-1390067357-1637723038-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{15a0413e-9f45-4d45-9a75-2c20b15b5b51} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{15a0413e-9f45-4d45-9a75-2c20b15b5b51}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\10 deleted successfully.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Админ\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\Админ\Application Data\bearsharetoolbargaw folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 25214 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 2084274 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Админ
->Temp folder emptied: 3537411 bytes
->Temporary Internet Files folder emptied: 3580420 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 24423222 bytes
->Google Chrome cache emptied: 171340401 bytes
->Flash cache emptied: 291 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3850829 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 82139 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 1126861 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 98811378 bytes

Total Files Cleaned = 295,00 mb

Unable to start System Restore Service. Error code 5

OTL by OldTimer - Version 3.2.69.0 log created on 07072014_210915

Files\Folders moved on Reboot…
File move failed. C:\WINDOWS\temp_avast_\AvastLock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp_avast_\Webshlock.txt moved successfully.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

ADW Cleaner report - в аттаче

6

В AdwCleaner уберите флажки со следующих найденных объектов:

Папка Найдено : C:\Documents and Settings\Админ\Local Settings\Application Data\Mail.Ru
Файл Найдено : C:\Documents and Settings\Админ\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\.autoreg

и нажмите кнопку Очистить.

Сообщите в следующем сообщении, наблюдается ли проблема или нет.

7

Stanley76, исправьте в своем первом сообщении ссылку на getusaall, сделав ее некликабельной, например так: хttp://getusaaall.info

8

проблема решилась, спасибо Вам большущее, Andrey!!! :slight_smile:

ссылки в 1ом сообщении подправила.

9

Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы. Запустите AdwCleaner и нажмите кнопку Удалить для удаления программы и ее карантина.

10

OTL и AdwCleaner удалила, как я понимаю, Malwarebytes Anti-Malware можно оставить?

и еще в папке С:\WINDOWS\Prefetch есть файлы ADWCLEANER_3.214 (1).EXE-353EF62D.pf и ADWCLEANER_3.214.EXE-032DDF0F.pf - их удалить или не нужно?

11

Malwarebytes Anti-Malware можете оставить в качестве сканера по требованию и проводить проверку компьютера хотя бы раз в месяц. В папке Prefetch можно ничего не трогать.

12

ok, спасибо большое еще раз, Вы действительно очень помогли!! :slight_smile:

13

Всегда пожалуйста, рад был помочь :wink: