Заражение URL:Mal - прошу помощи, не могу справиться с вирусом.

Добрый вечер! :slight_smile:

Прошу о помощи, мучаюсь уже несколько дней, не могу удалить вирусы. В данный момент симптомы следующие: при запуске любого из браузеров “Гугл Хром, Опера, Эксплорер” выскакивает сообщение от аваста “Заражение URL:Mal” Время от времени при нажатии на ссылки открываются новые окна с рекламой.
:-\

Проблема началась несколько дней назад и первоначально выглядела так:
Opera перестала работать.
Проверил c помощью Dr.Web Curelt нашел вирус, удалил. После удаления вируса Opera(12) не заработала.
Переустановил Operу- это проблему не решило. Делал чистую установку.
Писало: “внутренняя ошибка связи” при попытке перейти на любой сайт.
Гугл Хром и Интернет Эксплорер работали, но периодически при нажатии на ссылки открывались новые окна с рекламой. Потом и Эксплорер перестал работать.
Многое перепробовал, сканировал систему и удалял вирусы при помощи Dr.Web CureIt!, Malwarebytes Anti-Malware. При сканировании находило много подозрительного, в основном среди найденного фигурировало название relevantknowledge. Проблему решило отчасти, Эксплорер заработал, Operу снес - поставил Opera 19 - работает.

Сканирование Аваст в безопасном режиме тоже что-то находило, но удаление объектов проблему не решило.

Отчеты прилагаю. Все отчеты последние, если нужно есть вроде бы более ранние отчеты Malwarebytes Anti-Malware…
При сканировании aswMBR выдает ошибку и программа закрывается, лог сделать не получилось.

Заранее благодарен за любую помощь!

Отчеты.

biomortoglot, здравствуйте и добро пожаловать на форум!

Проверьте файл C:\Windows\SysWOW64\drivers\utm0mjyy.sys на virustotal:
[*]нажмите кнопку Выбрать файл - найдите нужный файл у вас в системе - Открыть - Проверить.
[*]Нажмите на кнопку Повторить анализ, если данная кнопка будет доступна.
[*]Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) cкопируйте и укажите в следующем сообщении.
Вы сами устанавливали программу Pirrit?

Здравствуйте, и спасибо что отозвались! Программу Pirrit сам не устанавливал и понятие не имел что такая имеется.

virustotal написал мне следующее:

Файл уже проверялся
This file was last analysed by VirusTotal on 2014-02-17 08:00:54 UTC, it was first analysed by VirusTotal on 2009-01-30 14:00:58 UTC.

Показатель выявления: 9/49

Можно посмотреть результаты предыдущего анализа, либо повторить анализ.

Результаты:

https://www.virustotal.com/ru/file/7ae9aae77884ac0baa2f8168b3ed4de0c0c9834a42d8e5a775f47a2c66cec237/analysis/

Через программы и компоненты удалите программу PirritSuggestor

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Подготовьте новый отчет OTL.

All processes killed
========== OTL ==========
Service utm0mjyy stopped successfully!
Service utm0mjyy deleted successfully!
C:\Windows\SysWOW64\drivers\utm0mjyy.sys moved successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}\ not found.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}\ not found.
File C:\Program Files (x86)\RelevantKnowledge\firefox not found.
C:\Users\mortoglot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cogkkcgdhndddhnkcebakjmifjllamkb\1.0.4_1_locales\en folder moved successfully.
C:\Users\mortoglot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cogkkcgdhndddhnkcebakjmifjllamkb\1.0.4_1_locales folder moved successfully.
C:\Users\mortoglot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cogkkcgdhndddhnkcebakjmifjllamkb\1.0.4_1\src folder moved successfully.
C:\Users\mortoglot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cogkkcgdhndddhnkcebakjmifjllamkb\1.0.4_1\icons folder moved successfully.
C:\Users\mortoglot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cogkkcgdhndddhnkcebakjmifjllamkb\1.0.4_1 folder moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\10 deleted successfully.
Registry value HKEY_USERS\S-1-5-21-345600742-3231555411-2666659329-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
ADS C:\ProgramData\TEMP:5A775C3F deleted successfully.
========== FILES ==========
File\Folder C:\Program Files (x86)\RelevantKnowledge not found.
File\Folder C:\Windows\SysWOW64\drivers\utm0mjyy.sys not found.
File\Folder C:\Program Files (x86)\SearchProtect not found.
C:\Users\mortoglot\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z\PDF Reader Packages folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\FunmoodsChat\UpdateProc folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\FunmoodsChat folder moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56475 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: mortoglot
->Temp folder emptied: 814983038 bytes
->Temporary Internet Files folder emptied: 6408010 bytes
->Google Chrome cache emptied: 413284646 bytes
->Flash cache emptied: 1475 bytes

User: Public

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 407 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 51288 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1 178,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 02182014_200416

Files\Folders moved on Reboot…
C:\Users\mortoglot\AppData\Local\Temp\amt3.log moved successfully.
C:\Users\mortoglot\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\mortoglot\AppData\Local\Temp\Photoshop Temp142675796 not found!
C:\Users\mortoglot\AppData\Local\Temp\swtag.log moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

Вы удалили программу PirritSuggestor? Подготовьте новый отчет OTL.
После выполнения скрипта проблема по-прежнему наблюдается?

Отчет OTL, программу удалил. Проблемы пока не наблюдаю :slight_smile:

Спасибо огромное! Проблема, похоже, решена! По крайней мере симптомов нет.

Нет, все же не помогло. Аваст ругаться перестал но на рекламные сайты при нажатии на некоторые ссылки все еще перебрасывает, хоть и не так часто.

Проверьте файл C:\Program Files\03.exe на virustotal:
[*]нажмите кнопку Выбрать файл - найдите нужный файл у вас в системе - Открыть - Проверить.
[*]Нажмите на кнопку Повторить анализ? если данная кнопка будет доступна.
[*]Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) cкопируйте и укажите в следующем сообщении.
Вы используете прокси?

Прокси не используется.

https://www.virustotal.com/ru/file/e3b64fc52a4a3d930b8b5e1eb1748e43c4dccb5e655210028669a70c05cb2ebe/analysis/

На счет прокси смотрел вот тут: http://www.2ip.ru

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}\ not found.
C:\Users\mortoglot\AppData\Roaming\mozilla\firefox\profiles\extensions\suggestor@suggestor.pirrit.com.xpi moved successfully.
C:\Users\mortoglot\AppData\Roaming\mozilla\firefox\profiles\extensions\extensions\suggestor@suggestor.pirrit.com.xpi moved successfully.
Use Chrome’s Settings page to change the HomePage.
Registry key HKEY_USERS\S-1-5-21-345600742-3231555411-2666659329-1000\Software\Microsoft\Internet Explorer\SearchScopes{searchTerms}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{searchTerms}\ not found.
========== FILES ==========
C:\Users\mortoglot\AppData\Roaming\MiponyDownloadManagerPackages\UninstallPackages folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\MiponyDownloadManagerPackages folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\ExpressFiles folder moved successfully.
C:\Program Files\03.exe moved successfully.
C:\Users\mortoglot\AppData\Local\PirritSuggestor folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\Pirrit\Services folder moved successfully.
C:\Users\mortoglot\AppData\Roaming\Pirrit folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: mortoglot
->Temp folder emptied: 25096 bytes
->Temporary Internet Files folder emptied: 622243 bytes
->Google Chrome cache emptied: 20949284 bytes
->Flash cache emptied: 1155 bytes

User: Public

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 21,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 02182014_203923

Files\Folders moved on Reboot…
C:\Users\mortoglot\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

Проблема по-прежнему наблюдается? Если да, то в каком-то определенном браузере или во всех?

Пока не наблюдаю… Сейчас хорошенько полажу по разным сайтам.

ОГРОМНОЕ спасибо! Все в порядке, лечение помогло симптомов нет, работает все очень хорошо! :slight_smile:

Запустите снова программу OTL by OldTimer и нажмите кнопку Cleanup для удаления программы.