Проблема заражение URL:Mal - не получается удалить вирус

Non-English Boards Русский
1

Добрый вечер! :slight_smile:

Очень прошу помочь в решении проблемы удаления вируса URL:Mal. Все началось изза того что при скачивании фотошопа, я временно отключил Аваст и получил по заслугам: вирус. Аваст писал что ссылка вредоносная, но я посчитал это ошибочным поверив сайту скачивания что там нет вирусов.

Теперь уже больше недели постоянно при открытии браузеров Мозилла Файрфокс и Опера выскакивает сообщения Аваст о заражении. Никаких сайтов не блокируется из тех которыми я постоянно пользуюсь в том числе социальных сетей. Бывает это предупреждение Аваст выдает при листании страниц моих старых и проверенных сайтов но их не блокирует. В большинстве случаев ссылка в сообщении идет на процесс C:\Windows\system32\SHELL32.dll но это не всегда, иногда ссылается на экзешный файл бразура Опера.

Мной было пролистано в Гугле кучу сайтов по этой проблематике. Но нормального ответа так и не нашел. Сканирование Аваст в любом режиме не дает никаких результатов. Доктор Веб хотя и удалил некоторые вирусы но проблемы URL:Mal не решил. Других антивирусов мной спробовано не было. Сегодня обновил версию Аваст и сделал полное сканирование компьютера но результата оно не дало, вирус продолжает жить :frowning:

Оперционная система компьютера Виндовс 7 Ультимейт 64 бит СП1

Пользуюсь интивирусом Аваст уже несколько лет, надеюсь что мне все таки будет оказана посильная помощь в решении этой проблемы :slight_smile:

Все необходимые отчеты прилагаю к этому сообщению

2

скриншоты

3

еще добавляю файлы, почемуто на сайте больше 4 сарзу нельзя опубликовать

4

Dionisiy, здравствуйте и добро пожаловать на форум!

Запакуйте папки

C:\Users\Администратор\AppData\Roaming\smwdgt
C:\Program Files (x86)\smilfld

и загрузите на любой файлообменник (например, http://rghost.ru/) и укажите ссылку на загрузку файла в следующем сообщении.

Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!

5

:slight_smile:

http://rghost.ru/50363325

http://rghost.ru/50363441

сайчас аваст начал больше выкидывать сообщения о заражении с ссылкой на процесс экзешных файлов браузеров :frowning:

6

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

7

папка _OTL\MovedFiles у меня была не на диске С: а на диске D: файла mmddyyyy_hhmmss.log не нашел, но при загрузке сразу был открыт файл 11222013_220149
вот его содержимое и публикую тут :slight_smile:

Теперь когда загружал браузер Опера аваст уже молчал :slight_smile: щас еще буду пробовать работать в браузерах :slight_smile:

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!
HKEY_USERS\S-1-5-21-324034569-846724871-1184152779-500\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{71238372-3743-33ab-8a9f-93722af74c97}\chrome\content folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{71238372-3743-33ab-8a9f-93722af74c97}\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{71238372-3743-33ab-8a9f-93722af74c97} folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\defaults\preferences folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\defaults folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\skin folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\locale\en-us folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\locale folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome\content folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions\itinfo@new-come.ru folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\firefox\profiles\nahd6ha2.default\searchplugins\webalta-search.xml moved successfully.
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\hffpndpljemgdfjjkijcidbhadeiillo\1.2_0 folder moved successfully.
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\mocblcnaofikinigmceddfghppkkjbog\1.0.0.5\mz folder moved successfully.
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\mocblcnaofikinigmceddfghppkkjbog\1.0.0.5 folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{0634c8be-e700-47b3-9843-1695590313b5}\defaults\preferences folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{0634c8be-e700-47b3-9843-1695590313b5}\defaults folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{0634c8be-e700-47b3-9843-1695590313b5}\chrome\content folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{0634c8be-e700-47b3-9843-1695590313b5}\chrome folder moved successfully.
C:\Users\Администратор\AppData\Roaming\mozilla\Firefox\Profiles\nahd6ha2.default\extensions{0634c8be-e700-47b3-9843-1695590313b5} folder moved successfully.
Prefs.js: itinfo%40new-come.ru:13.11.16O3 - HKLM..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found. removed from extensions.enabledAddons
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ scheduled to be deleted on reboot.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
========== FILES ==========
C:\Users\Администратор\AppData\Roaming\smwdgt folder moved successfully.
C:\Program Files (x86)\smilfld folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktopy.ru folder moved successfully.
C:\Program Files (x86)\desktopy folder moved successfully.
C:\Users\Администратор\AppData\Roaming\smw_inst moved successfully.
C:\Users\Администратор\AppData\Roaming\desktopy.ru folder moved successfully.
File\Folder C:\Users\Администратор\AppData\Roaming\File Scout not found.
C:\Users\Администратор\AppData\Roaming\eCyber\sysicons folder moved successfully.
C:\Users\Администратор\AppData\Roaming\eCyber folder moved successfully.
C:\Users\Администратор\AppData\Local\Opera\Opera\widgets\extension.oex moved successfully.
File\Folder C:\Users\Администратор\AppData\Roaming\closer.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Администратор
->Temp folder emptied: 5416797 bytes
->Temporary Internet Files folder emptied: 3743140 bytes
->Java cache emptied: 37038 bytes
->FireFox cache emptied: 52293373 bytes
->Opera cache emptied: 19236703 bytes
->Flash cache emptied: 58929 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1042 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69229 bytes
RecycleBin emptied: 24907764 bytes

Total Files Cleaned = 101,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 11222013_220149

Files\Folders moved on Reboot…
C:\Users\Администратор\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…
Registry delete failed. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ scheduled to be deleted on reboot.

8

Пожалуйста, загрузите папку _OTL\MovedFiles на файлообменник, как это Вы делали ранее, и укажите ссылку на загрузку файла в следующем сообщении.

9

http://rghost.ru/50365055

работаю с браузерами, пока нет проблем, аваст молчит :slight_smile:

10

Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы.

11

:slight_smile: удалил программу, компьютер перезагрузился, открыл браузера, аваст полчит, кажись вирус убит :slight_smile:

что делать с папкой _OTL\MovedFiles ее можно удалять с диска D ?

12

Вы нажимали кнопку CleanUp? Эта папка должна была автоматически удалиться вместе с программой, но т.к. этого не произошло, то вручную удалите папку _OTL.

13

:slight_smile: все нормально я сразу не посмотрел, та папка была удалена, а архивную я удалил, которую на файлообменник кидал.

Все работает нормально, большое Вам спасибо, если снова возникнет эта проблема буду обращатся, реально помогли 8)

14

Привет! :slight_smile:

К сожалению наш “друг” вернулся, правда в другой форме.
Почемуто он “прилепился” к браузеру Опера. Теперь когда я открываю любую страницу в опере выскакивает сообщение авасте о вирусе (скриншот прилагаю). Это началось несколько дней назад, сначала по немногу, а теперь любое открытие страниц браузера опера вызывает это сообщение.

Что примечательно, на другой браузер Мозилла Фаерфокс вирус вообще не реагирует, никаких сообщений аваста вообще небыло.

Проверка антивирусом аваст ничего не дала.

Прошу помочь :slight_smile:

15

Dionisiy, какие расширения установлены в браузере опера?

16

:slight_smile: кидаю картинку, это все что на нем есть в расширениях

17

Удалите расширения Desktopy и System Security Application, проблема должна быть решена.

18
  1. вау! большое спасибо! удалил те расширения в браузере, потыкал новые страницы: никаких проблем нет !

Еще раз благодарю ::slight_smile:

19

Как удалить подобный вирус? Какая дополнительная информация нужна для того чтобы вы могли подсказать, что-то в моей конкретной ситуации?

20

dashavotinova, здравствуйте и добро пожаловать на форум!

Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме.

Для подготовки отчётов (логов), необходимых для лечения Вашего компьютера от заражений, рекомендуем ознакомиться с темой Логи для помощи в очистке компьютера от заражений

Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!