User5314, здравствуйте!
Пожалуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как… выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме
[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.
[*]Компьютер перезагрузится.
[*]После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
Скачайте AdwCleaner на Рабочий стол
[*]запустите AdwCleaner и нажмите кнопку Сканировать
[*]После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1
system
244
Текст из лог-файла OTL:
All processes killed
========== OTL ==========
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\skin\classic folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\skin folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\locale\en-US folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\locale folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome\content folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com\chrome folder moved successfully.
C:\Users\1Guru\AppData\Roaming\mozilla\Firefox\Profiles\vtsmylfd.default\extensions\WebSiteRecommendation@weliketheweb.com folder moved successfully.
Registry value HKEY_USERS\S-1-5-21-3486594306-2472324998-1109229179-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{405DFEAE-1D2F-4649-BE08-C92313C3E1CE} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{405DFEAE-1D2F-4649-BE08-C92313C3E1CE}\ not found.
Registry value HKEY_USERS\S-1-5-21-3486594306-2472324998-1109229179-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}\ not found.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: 1Guru
->Temp folder emptied: 166948839 bytes
->Temporary Internet Files folder emptied: 506391 bytes
->Java cache emptied: 625911 bytes
->FireFox cache emptied: 119923739 bytes
->Flash cache emptied: 57763 bytes
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57311 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Администратор
->Temp folder emptied: 232018 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 57472 bytes
User: Все пользователи
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1619120 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 499614862 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69223 bytes
RecycleBin emptied: 537571888 bytes
Total Files Cleaned = 1 266,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 07072014_234123
Files\Folders moved on Reboot…
C:\Users\1Guru\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\1Guru\AppData\Local\Temp~PI9E74.tmp not found!
File\Folder C:\Users\1Guru\AppData\Local\Temp~PI9E75.tmp not found!
C:\Users\1Guru\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\AvastLock.txt scheduled to be moved on reboot.
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
Лог-файл ADW прилагаю. Кнопку “Очистить” в ADW нажимать?
Да, в AdwCleaner нажмите кнопку Очистить.
Наблюдается ли сейчас проблема?
system
246
Здравствуйте. В данный момент - нет. Этот руткит размножается через съемные флеш-носители? Нужно ли проверить все флеш-карты через эти спец. утилиты?
system
248
Добрый вечер!
Очень прошу помочь в решении проблемы удаления вируса URL:Mal. Все началось из-за того что при скачивании плагина восстановления фоток.
Теперь уже больше недели постоянно при открытии браузеров Мозилла Файрфокс и Опера выскакивает сообщения Аваст о заражении: URL hxxp://getmuzicas.info/?e=pcho&cht=2&dcu=1&cpatch=2&dcs=1&pf=1&unp=Azm9CdOLv7DVDyxECyFPg7x9Ae0KBfUKAe4MBG0VWznLDe4PBNq9geFI&publisher=377&dd=4&country=RU&ind=7400914969704047112&exid=0&ssd=1909972603981823720&hid=5786491962584579540&osid=603&channel=0&sfx=1&jc=1&category_name=PriceChop&install_date=20130709
Заражение URL:Mal
Процес: System32/svchost.exe
Оперционная система компьютера Win 8.1 Pro 64 бит
Пользуюсь интивирусом Аваст уже несколько лет, надеюсь что мне все таки будет оказана посильная помощь в решении этой проблемы
Все необходимые отчеты прилагаю к этому сообщению
Scrubber13, здравствуйте и добро пожаловать на форум!!
Пожалуйста, пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как… выберите кодировку ANSI и сохраните. После этого прикрепите отчеты на форуме
system
250
В кодировке ANSI.
Большое спасибо за помощь!
Scrubber13, cкачайте AdwCleaner на Рабочий стол
[*]запустите AdwCleaner и нажмите кнопку Сканировать
[*]После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1
У Вас не было руткита, а было установлено вредоносное расширение Website recommendation.
Если проблем больше нет, то запустите снова программу OTL by OldTimer и нажмите кнопку CleanUp для удаления программы. Запустите программу AdwCleaner и нажмите кнопку Удалить для удаления программы и ее карантина.
Если Вы хотите проверить флэш-накопители на наличие вирусов, то можете воспользоваться следующей программой.
[*]Скачайте McShield на Рабочий стол и установите.
[*]Запустится первоначальное сканирование и результаты будут показаны во всплывающем окне около системных часов.
[*]Затем в центре управления выберите сканер и отметьте всегда отображать элементы на флэш-накопителях.
https://www.dropbox.com/s/pqb8u4eir3pcc3s/MCShield.3.0.3.262.png?dl=1
[*]Вставьте флэш-накопитель и MCShield начнет сканирование.
Через Программы и компоненты в Панели управления удалите программу eSupport UndeletePlus 3.0.3.521
В AdwCleaner уберите флажки со следующих обнаруженных объектов:
Папка Найдено : C:\Program Files (x86)\Mail.Ru
***** [ Реестр ] *****
Значение Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
и нажмите кнопку Очистить.
Наблюдается ли проблема после очистки?
system
255
Здравствуйте, у меня тоже возникла проблема с этим вирусом: каждые 10-15 минут avast сообщает что обнаружена вирусная угроза "Веб экран Avast! Заблокирован вредоносный сайт либо файл. Заражение: URL:Mal Процесс:С\Windows\System32\svchost.exe. Полное сканирование, очистка браузера, исправление реестра ситуацию не исправляют. Help Help Help! Отчеты согласно инструкции прилагаются
negative_fellow, здравствуйте и добро пожаловать на форум!
[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.
[*]Компьютер перезагрузится.
[*]После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
system
258
All processes killed
========== OTL ==========
No active process named contosor.exe was found!
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}\ not found.
Registry value HKEY_USERS\S-1-5-21-1137174107-2624747679-3393518619-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
ADS C:\ProgramData\TEMP:10D14739 deleted successfully.
ADS C:\Windows:nlsPreferences deleted successfully.
ADS C:\ProgramData\TEMP:B24B19F1 deleted successfully.
ADS C:\ProgramData\TEMP:0C6951A3 deleted successfully.
ADS C:\ProgramData\TEMP:810B9F0D deleted successfully.
ADS C:\ProgramData\TEMP:A1EDB939 deleted successfully.
ADS C:\ProgramData\TEMP:456A69E6 deleted successfully.
ADS C:\ProgramData\TEMP:C59E90A4 deleted successfully.
ADS C:\ProgramData\TEMP:B0177106 deleted successfully.
ADS C:\ProgramData\TEMP:04853F41 deleted successfully.
ADS C:\ProgramData\TEMP:054B9966 deleted successfully.
ADS C:\ProgramData\TEMP:7980A5DB deleted successfully.
========== FILES ==========
C:\Windows\RegPolicy folder moved successfully.
C:\Users\Иоред\AppData\Roaming\SupTab folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Archive
User: Default
->Temporary Internet Files folder emptied: 128 bytes
->Flash cache emptied: 57311 bytes
User: Default User
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: DropBox
User: Jobs
User: Public
User: ServerJob
User: Servers
User: Temp
User: Updates
User: Все пользователи
User: Иоред
->Temp folder emptied: 217088 bytes
->Temporary Internet Files folder emptied: 32113117 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 100348742 bytes
->Flash cache emptied: 132089 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1564672 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4014 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 128,00 mb
Restore point Set: OTL Restore Point
OTL by OldTimer - Version 3.2.69.0 log created on 07092014_202408
Files\Folders moved on Reboot…
C:\Users\Иоред\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
negative_fellow, наблюдается ли проблема после выполнения скрипта?
system
260
К сожалению нет, сообщение о заражении URL: Mal: продолжает появляться
