Аваст блокирует сайты

system · March 24, 2013, 3:21pm

Аваст блокирует сайты vk.vom google.com
Заражание URL:Mal
Впервые такое.
Думаю проблема в папке хост, которую вирус создал и скрыл.
Видимая папка - только с локал хостом.

system · March 24, 2013, 3:32pm

AbnormalGamer, перед тем, как создавать новую тему, всё таки необходимо просмотреть уже существующие темы, может так оказаться, что подобную тему уже рассматривали. И далее уже общаться в выбранной Вами теме.

Вот Вам например, http://forum.avast.com/index.php?topic=117592.0
http://forum.avast.com/index.php?topic=95534.0
http://forum.avast.com/index.php?topic=118659.0
http://forum.avast.com/index.php?topic=119155.0

Согласитесь, тяжело одно и тоже описывать и рекомендовать в множестве однотипных тем?

Andreypro · March 24, 2013, 3:49pm

AbnormalGamer,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

system · March 24, 2013, 4:59pm

Вот отчеты/логи первых двух программ.
А вот aswMBR в процессе сканирования выдает ошибку и закрывается с ошибкой.

system · March 24, 2013, 5:03pm

Извиняюсь, файлы забыл сделать в анси формате.

Andreypro · March 24, 2013, 5:33pm

AbnormalGamer, проверьте данный файл на вирустотал (https://www.virustotal.com/ru/ ) и прикрепите ссылку на результаты сканирования в следующем сообщении!

C:\ProgramData\Mozilla\airwqmh.dll

system · March 24, 2013, 6:00pm

Andrey:

AbnormalGamer, проверьте данный файл на вирустотал (https://www.virustotal.com/ru/ ) и прикрепите ссылку на результаты сканирования в следующем сообщении!
C:\ProgramData\Mozilla\airwqmh.dll

Andrey,pro. Я на данный момент в дороге, завтра приеду и все доделаю, спасибо Вам за помощь.

Andreypro · March 24, 2013, 6:12pm

хорошо если этот вирус не определяется авастом, то отправьте его, пожалуйста, в лабораторию аваст, воспользовавшись специальной формой:
avast! Сообщить о вирусе: http://www.avast.com/ru-ru/contact-form.php?loadStyles
или в архиве с паролем “virus” (без кавычек) отправьте на почту virus@avast.com

вот скрипт для лечения:

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
MOD - C:\ProgramData\Mozilla\airwqmh.dll ()
O20 - AppInit_DLLs: (C:\PROGRA~2\Mozilla\airwqmh.dll) - C:\ProgramData\Mozilla\airwqmh.dll ()
O3 - HKLM\..\Toolbar: (Спутник@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
O2 - BHO: (MailRuBHO Class) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:D8999815
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:07BF512B

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
Компьютер перезагрузится.
После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

P.s ссылку с вирустотал потом прикрепите, ради любопытства, сколько антивирусов определит этот вирус (скорее всего троян маячок)

system · March 25, 2013, 3:10pm

Andrey:

хорошо если этот вирус не определяется авастом, то отправьте его, пожалуйста, в лабораторию аваст, воспользовавшись специальной формой:
avast! Сообщить о вирусе: http://www.avast.com/ru-ru/contact-form.php?loadStyles
или в архиве с паролем “virus” (без кавычек) отправьте на почту virus@avast.com

вот скрипт для лечения:

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
MOD - C:\ProgramData\Mozilla\airwqmh.dll ()
O20 - AppInit_DLLs: (C:\PROGRA~2\Mozilla\airwqmh.dll) - C:\ProgramData\Mozilla\airwqmh.dll ()
O3 - HKLM\..\Toolbar: (Спутник@Mail.Ru) - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
O2 - BHO: (MailRuBHO Class) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll (@Mail.Ru)
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:D8999815
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:07BF512B

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”

Компьютер перезагрузится.

После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

P.s ссылку с вирустотал потом прикрепите, ради любопытства, сколько антивирусов определит этот вирус (скорее всего троян маячок)

Вирус тотал показал 17 антивирусов, и вирусы почти все разные) ссылку не сохранил, извиняюсь)
Вот текст из файла после перезагрузки:
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls:C:\PROGRA~2\Mozilla\airwqmh.dll deleted successfully.
C:\ProgramData\Mozilla\airwqmh.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{09900DE8-1DCA-443F-9243-26FF581438AF}\ deleted successfully.
C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
File C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll not found.
ADS C:\ProgramData\TEMP:D8999815 deleted successfully.
ADS C:\ProgramData\TEMP:07BF512B deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 676332116 bytes
->Temporary Internet Files folder emptied: 2256649 bytes
->Java cache emptied: 123028 bytes
->FireFox cache emptied: 49091128 bytes
->Google Chrome cache emptied: 7268007 bytes
->Flash cache emptied: 2616 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16901174 bytes
RecycleBin emptied: 191676657 bytes

Total Files Cleaned = 900,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 03252013_165811

Files\Folders moved on Reboot…
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

Спасибо, все заработало.
Рекомендую Вас всем остальным)

afix · April 5, 2013, 2:47pm

Аваст блокирует сайты

Announcements