Сегодня при запуске компа Аваст отработал(скрин).
Подскажите пожалуйста как мне найти этот объект чтобы его полностью удалить(поиск конечного имени в поле Объект (Customi…exe) результата не даёт - не нахожу его на диске С). Или, после работы Аваст этот объект уже удалён (хотя написано, что программа блокирована только)?
Здравствуйте serjil.
Для подготовки отчётов (логов), необходимых для лечения Вашего компьютера от заражений, рекомендуем ознакомиться с темой Логи для помощи в очистке компьютера от заражений:
Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!
Посмотрите полный путь к файлу здесь: C:\ProgramData\AVAST Software\Avast\report\FileSystemShield.txt (для Windows 7)
Судя по скриншоту заблокированный объект находился (находится) в архиве CUST.CAB
Лог JRT
При сканировании MBAM Аваст ещё высвечивал эту же картинку, только с другим процессом.
прилагаю два лога, т.к. после первого сканирования не поставил все галочки
Проблема осталась.
Просканировал OTL. (В инструкции указано: “Не меняйте никаких настроек программы, если Вас об этом не попросили”. Но у меня по умолчанию не были поставлены галки в одном поле вверхнем зелёном и обе в нижнем квадратах, как на скрине, и я их поставил - правильно сделал?)
Логи прилагаю
Сканирование aswMBR не удаётся(пробовал дважды) - скрин ошибки во вложении.
Операционка W7 профессиональная 64-бита
serjil, прикрепите файл, который находится в C:\ProgramData\AVAST Software\Avast\report\FileSystemShield.txt
Прикрепляю
В C:\WINDOWS\Installer есть файл 25eda4.msp или CUST.CAB?
25eda4.msp - есть
Проверьте файл 25eda4.msp на virustotal:
[*]нажмите кнопку Выбрать файл (Choose File) - найдите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). [*]Нажмите на кнопку Повторить анализ (Reanalyse) если данная кнопка будет доступна.
[*]Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) cкопируйте и укажите в следующем сообщении.
При попытке загрузить на вирустотал выдаётся ошибка
запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:
:OTL
O2:[b]64bit:[/b] - BHO: (no name) - {A66261FC-B82E-4EC7-9F6D-C2F36B871DF0} - No CLSID value found.
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:D8999815
:Files
C:\Users\Сергей\AppData\Roaming\Rublik
C:\WINDOWS\Installer\25eda4.msp
:Commands
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
- Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
- Компьютер перезагрузится.
- После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
После выполнения скрипта и перезагрузки сообщите, как ведет себя компьютер.
При запуске ОТЛ снеова небыло галочек в трёх строках(как я указывал выше) - я их проставил. При сканировании Аваст снова выдал тоже окно (может нужно было отключиться от интернета и отключить Аваст для сканирования?). После сканирования и перезагрузки не запустился Spyware Terminator 2012, на экране появился текстовик с циферным именем-блокнот с содержанием:
All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:D8999815 deleted successfully.
========== FILES ==========
C:\Users\Сергей\AppData\Roaming\Rublik folder moved successfully.
C:\WINDOWS\Installer\25eda4.msp moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: Все пользователи
User: Сергей
->Temp folder emptied: 10562590 bytes
->Temporary Internet Files folder emptied: 18686644 bytes
->Java cache emptied: 11867 bytes
->Opera cache emptied: 55193440 bytes
->Flash cache emptied: 8253 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12053926 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69290 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 92,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 09192013_212310
Files\Folders moved on Reboot…
C:\Users\Сергей\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Сергей\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
Это то что было нужно, как я понял (в папку “C:_OTL\MovedFiles” уже не нужно лезть? - там то же самое)
Аваст по-прежнему находит вирус в файле 25eda4.msp?
Запакуйте папку C:_OTL\MovedFiles в архив и залейте на любой файлообменник (например, http://rghost.ru/) и укажите ссылку на загрузку файла.
Почему не запустился Spyware Terminator 2012- не знаю, возможно, после перезагрузки он запустится, я ничего с ним не делал.
Сначала посмотрел по прежнему пути C:\WINDOWS\Installer - файла 25eda4.msp не было.
Чтобы удостоверится перезагрузился - Аваст молчал. При попытке запаковать в архив аваст выдал снова (скрин) и архивация не дошла до конца (скрин).
нужно ли такой архив заливать на файлообменник?
после перезагрузки Терминатор запустился.
Если аваст молчит, то нет, архив мне не нужен. Получается, что проблема решена, аваст больше не сообщает об обнаруженной рекламной программе?
Спасибо за помощь!
Можно все устанавливавшиеся программы и их отчёты удалять?
Если проблем больше нет, то временно отключите все экраны аваста, запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы. Все остальные программы и отчеты можете удалить. Включите все экраны аваст.
Andrey,pro, добрый день!
Решил ещё для подстраховки вчера запустить сканирование при загрузке Авастом, да вот только не догадался в исключения поставить диски не системные(а там кряки имеются). Ну и аваст выдал такую карину в карантине (скрин с экрана). Пока я всё восстановил из карантина.
Вот собственно вопрос по первым двум строкам и шестой снизу (Тотал командер), которая, как понимаю связана как-то со второй строкой.
Первая строка активатор Офиса - правильно понимаю, что удалять её смысла нет (слетит активация) и лечение бесполезно (не поможет)?
Вторая строка и по Тоталу - у меня нет диска L (Тотал этот лежит в Е диске). Почему такое отображение расположения и что именно во второй строке (если это не относится к тоталу)?
После сканирования Авастом, просканировался свежим Dr.Web CureIt - чисто!
Установил вновь Malwarebytes’ Anti-Malware, обновил и просканировал - найдено три остатка (лог(до удаления их) во вложении). Я их, естественно удалил из карантина совсем.
Такой вопрос - почему вчера при работе утилитами эти хвосты не были обнаружены (родителя этих хвостов я удалил с пол-месяца назад ещё) ничем?
Сканировался с отключенным интернетом и перезагрузкой после Курейта (как было раньше написано в инструкции).