url: mal

Здравствуйте, уважаемые форумчане! :slight_smile:

У меня большая проблема с вирусом URL: Mal практически на всех сайтах. После его появления сайт vk.com грузиться неприлично долго, появилась непонятная реклама, по бокам слева.

Помогите пожалуйста.

Smolyaninoff, здравствуйте! Добро пожаловать на форум!
запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7B229A1D-4F47-4BF6-85BF-324C5F77C8B5}: NameServer = 80.82.209.180
@Alternate Data Stream - 238 bytes -> C:\ProgramData\Temp:10D14739
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:A064CECC
@Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:41ADDB8A

:Files
C:\Users\Артем\AppData\Roaming\DSite

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

  1. После выполнения скрипта и перезагрузки скачайте утилиту Junkware Removal Tool
  • Запустите программу от имени администратора.
    Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool (JRT) работает на вашей системе, так что вам не придется беспокоиться о них.
  • Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.

Сделал все выше сказанное, добавил логи.

Smolyaninoff, что находится в папке C:\Users\Артем\AppData\Roaming\rtwhhvtd ? В ней есть исполняемые файлы (с расширением *.exe)? По умолчанию папка AppData является скрытой.

В этой папке находится файл trzD0D5.tmp. Файлов .exe нет.

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL

:Files
C:\Users\Артем\AppData\Roaming\rtwhhvtd

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

После сообщите, как ведет себя компьютер.

OLT by OldTimer тупо виснет и все. Перезагрузил компьютер, теперь при заходе в личный кабинет на сайте или блоге, выскакивает такое сообщение Avasta " JS:iframe-AMj [trj] "

выполните скрипт в безопасном режиме. Прикрепите скирншот о блокированной угрозе и укажите ссылку на сайт, только чтобы по ней нельзя было перейти (вместо http укажите hxxp)

Прикрепил скрин, сайт hxxp://artemsmolyaninov точка ru

Скачайте ComboFix :
Ссылка 1
Ссылка 2

ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол

  • ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь

[*]Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
[*]Примите соглашение и согласитесь на обновление, если программа попросит об этом

http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png

http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png

[*]После окончания, будет произведен отчет.
[*]Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.

Примечания:

  1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
  2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
  3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения

Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.

Проблема осталась. Файл прикрепил.

  1. Удалите ComboFix
    Удаление ComboFix
    [*]Нажмите клавишу Windows + R на клавиатуре. На экране появится диалоговое окно “Выполнить”
    [*]В открывшемся окне введите ComboFix /Uninstall
    (Обратите внимание на пробел между “x” и “/”)
    и нажмите OK

http://i1224.photobucket.com/albums/ee362/Essexboy3/Misc%20screen%20shots/CF_Uninstall-1.jpg

[]Следуйте инструкциям на экране
[
]Должно появиться сообщение, подтверждающее, что ComboFix был удален

  1. Вы в интернет выходите через роутер? Если да, то сбросьте настройки роутера к умолчанию.

Прошло около 2х недель и проблема с URL:mal и JS:iframe-AMj [trj] проявилась снова… Опять везде где можно выскочила реклама, помогите пожалуйста.

  1. Скачайте AdwCleaner на Рабочий стол
  • запустите AdwCleaner и нажмите Delete

https://dl.dropbox.com/u/73555776/AdwCleaner.GIF

[]После выполнения дайте согласие на перезагрузку.
[
]После перезагрузки будет создан отчет, прикрепите его в следующем сообщении

  1. Подготовьте новый отчет OTL

Прикрепил логи.

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
O15 - HKCU\..Trusted Domains: 4game.com ([]https in Trusted sites)
O15 - HKCU\..Trusted Ranges: Range1 ([https] in Trusted sites)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7B229A1D-4F47-4BF6-85BF-324C5F77C8B5}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.204
@Alternate Data Stream - 238 bytes -> C:\ProgramData\Temp:10D14739

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Обратите внимание, что после выполнения скрипта может потребоваться в настройках DNS прописать вручную или DNS-cервера провайдера или введите google public DNS:
предпочитаемый: 8.8.8.8
альтернативный: 8.8.4.4

Подробнее как это сделать: http://forum.avast.com/index.php?topic=128395.msg957993#msg957993