Инфекция: URL:Mal

Доброго времени суток.

Видел уже здесь подобную проблему.
Решаю по инструкции.

Вот первые результаты программы Malwarebytes’ Anti-Malware

Malwarebytes Anti-Malware (Пробная версия) 1.70.0.1100
www.malwarebytes.org

Версия базы данных: v2013.01.09.06

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Acer :: ACER-ПК [администратор]

Защитный модуль : Включен

09.01.2013 15:13:58
mbam-log-2013-01-09 (15-13-58).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 216254
Времени прошло: 7 минут , 24 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 1
C:\Program Files++ (Trojan.Agent) → Помещено в карантин и успешно удалено.

Обнаруженные файлы: 3
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) → Помещено в карантин и успешно удалено.
C:\Program Files++\dsk.txt (Trojan.Agent) → Помещено в карантин и успешно удалено.
C:\Program Files++\pjpl.txt (Trojan.Agent) → Помещено в карантин и успешно удалено.

(конец)

shuher61, здравствуйте Добро пожаловать на форум!
нужны еще логи OTL

После перезагрузки, эта программа, повторных обнаружений не выявила.

Но вирус так же присутствует.

Аваст выдаёт экран с предупреждением.

Выявляется вирус просто, не грузит сайты или грузит очень долго.

Хром вообще умер, выдаёт окно перезагрузки браузера, Мазила тоже страдает.

Более ли менее, можно через родной браузер, то бишь Экплорер.

Буду дейстовать далее по инструкции здесь http://forum.avast.com/index.php?topic=100566.0

Прошу прощения, отчёт очень большой, с трудом пришлось загрузить на народ.

Пожалуйста не игнорируйте помогите, комп совсем умерает ))

http://narod.ru/disk/65300630001.ca0435211eda6ba05967c6b35895c26e/OTL.txt.html

проверьте этот файл: C:\Windows\System32\bmodqeh.dll на вирустотал https://www.virustotal.com/ и ссылку покажите в следующем сообщении

Вот ещё

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-01-09 18:28:56

18:28:56.284 OS Version: Windows 6.1.7600
18:28:56.284 Number of processors: 2 586 0xF0D
18:28:56.471 ComputerName: ACER-ПК UserName: Acer
18:29:01.868 Initialize success
18:29:02.399 AVAST engine defs: 13010900
18:29:14.333 Disk 0 (boot) \Device\Harddisk0\DR0 → \Device\Ide\IdeDeviceP0T0L0-1
18:29:14.333 Disk 0 Vendor: Hitachi_HTS542525K9SA00 BBFOC31P Size: 238475MB BusType: 3
18:29:14.395 Disk 0 MBR read successfully
18:29:14.395 Disk 0 MBR scan
18:29:14.395 Disk 0 Windows 7 default MBR code
18:29:14.442 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 2048
18:29:14.458 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 74900 MB offset 206848
18:29:14.567 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 163473 MB offset 153602048
18:29:14.614 Disk 0 scanning sectors +488394752
18:29:14.770 Disk 0 scanning C:\Windows\system32\drivers
18:29:34.769 Service scanning
18:30:01.835 Modules scanning
18:30:30.248 Disk 0 trace - called modules:
18:30:30.708 ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS halmacpi.dll pciide.sys
18:30:30.728 1 nt!IofCallDriver → \Device\Harddisk0\DR0[0x86187620]
18:30:30.738 3 CLASSPNP.SYS[8b58d59e] → nt!IofCallDriver → \Device\Ide\IdeDeviceP0T0L0-1[0x85cf2610]
18:30:32.208 AVAST engine scan C:\Windows
18:30:39.034 AVAST engine scan C:\Windows\system32
18:33:49.158 AVAST engine scan C:\Windows\system32\drivers
18:34:04.388 AVAST engine scan C:\Users\Acer
18:36:33.829 AVAST engine scan C:\ProgramData
18:37:30.822 Scan finished successfully
18:38:25.540 Disk 0 MBR has been saved successfully to “C:\Users\Acer\Desktop\MBR.dat”
18:38:25.560 The log file has been saved successfully to “C:\Users\Acer\Desktop\aswMBR.txt”

https://www.virustotal.com/file/6167e5c4cd48af1874469fedccb111680b3ec9a5b19f60b9004558159c3e31c3/analysis/1357749645/

shuher61, сообщите пожалуйста о необнаруженном вирусе в аваст:
http://www.avast.com/ru-ru/contact-form.php
предмет/тема: сообщить о необнаруженных вредоносных программах
и прикрепите файл C:\Windows\System32\bmodqeh.dll
сейчас я напишу скрипт для лечения вашего ПК

после того,как отправите вредоносный файл в аваст, запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
O20 - AppInit_DLLs: (C:\Windows\system32\bmodqeh.dll) - C:\Windows\System32\bmodqeh.dll (BitDefender S.R.L.)

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

сообщите потом как ведет себя компьютер после выполнения скрипта

Прошу прощения Андрей, я не смог загрузить вирус, потому что у меня не грузилась картинка с ключами на отправку сообщения.

Сейчас файла нет уже.

Вроде бы компьютер ведёт себя нормально.

Огромное спасибо за помощь!!!

Вот отчёт

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls:C:\Windows\system32\bmodqeh.dll deleted successfully.
C:\Windows\System32\bmodqeh.dll moved successfully.
========== COMMANDS ==========
HOSTS file reset successfully

[EMPTYTEMP]

User: Acer
->Temp folder emptied: 353604601 bytes
->Temporary Internet Files folder emptied: 411826699 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 52435642 bytes
->Google Chrome cache emptied: 6512874 bytes
->Flash cache emptied: 2918 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1575440 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12154446 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 799,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 01092013_190302

Files\Folders moved on Reboot…
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\V0UIE81U\contact-form[1].htm moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\V0UIE81U\tweet_button.1357735024[1].htm moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MXUHSCUP\fastbutton[1].htm moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MXUHSCUP\index[8].htm moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\52E2R5DX\xd_arbiter[1].htm moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\52E2R5DX\xd_arbiter[3].htm moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Acer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

Нужно ли мне удалить Malwarebytes’ Anti-Malware ??

Не знаю, комп как то подтупливает немного.

Можно ли ещё какие нибудь проверки сделать?

скачайте утилиту Dr. web CureIt! http://www.freedrweb.com/cureit и просканируйте компьютер
Malwarebytes’ Anti-Malware, OTL и aswMbr можете удалять

Качаю…

Программных конфликтов не будет с Авастом?

конфликтов не будет, т.к Dr. web CureIt!-это всего лишь сканер,который не имеет модуля защиты в режиме реального времени
P.s Firefox и Chrome сейчас работают?

Др. Веб нашёл ещё один вирус, не смог лог найти или скопировать, перезагрузился.

Все браузеры работают.

Но меня конечно больше всего интересует Хром.

Посмотрим на состояние системы, позже отпишусь.

Спасибо!

а что нашел Dr.web,если не секрет? (файл скорее всего лежит в карантине)

Возможно он принял ошибочно за вирус?

Вот скрин, если нужно восстановлю в системе.

Или удалить?

http://narod.ru/disk/65310680001.59703799791201029c3fafdb151e98a2/123.jpg.html

если в папке C:\WINDOWS\system32\drivers\etc есть файл hosts, то все в порядке и можете удалить из карантина

Да есть, восстановлю…

Спасибо за всё!
Ваша профессиальная помошь была на высоте!