Аваст URL:Mal Помогите пожалуйста

Non-English Boards Русский
1

Доброго времени суток. У меня как и у всех проблема. Логи прикреплю

2

еще один файл

3

NightG, здравствуйте и добро пожаловать на форум!

Вы сами устанавливали программу Expert Home для шпионажа?

4

Да, но могу удалить, она мне не нужна.
Программу установил около недели назад, а аваст ругаться начал сегодня

5

Если Вы сами ее устанавливали, то удалять не надо.

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

  1. Повторите сканирование в MBAM и удалите все найденные объекты, прикрепите отчет в следующем сообщении.
6

malwarebytes висит в трее и выдает сообщение : Была предотвращена попытка доступа к вредоносному веб-сайту 111.111.111.111 порт 49479 pandoraservice.exe (порт каждый раз разный)

Вот лог OTL:

All processes killed
========== OTL ==========
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\extensions\speedtest4354@BestOffers\chrome\skin folder moved successfully.
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\extensions\speedtest4354@BestOffers\chrome\content folder moved successfully.
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\extensions\speedtest4354@BestOffers\chrome folder moved successfully.
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\extensions\speedtest4354@BestOffers folder moved successfully.
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\extensions{ca42e45e-2389-4e62-a7d6-11db0a4a9054}.xpi moved successfully.
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\extensions{f8e27e00-74cf-472f-b595-688999395a5c}.xpi moved successfully.
C:\Users\Виктор\AppData\Roaming\Mozilla\Firefox\Profiles\cfga01x8.default\searchplugins\webalta-search.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}\ not found.
File C:\Program Files (x86)\Speed Test 127\ScriptHost.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{CC59E0F9-7E43-44FA-9FAA-8377850BF205}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked deleted successfully.
Registry value HKEY_USERS\S-1-5-21-780889257-2962777411-3056619136-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\PowerOff deleted successfully.
Registry value HKEY_USERS\S-1-5-21-780889257-2962777411-3056619136-1000\Software\Microsoft\Windows\CurrentVersion\Run\NextLive deleted successfully.
C:\Users\Виктор\AppData\Roaming\newnext.me\nengine.dll moved successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
========== FILES ==========
File\Folder C:\Program Files (x86)\Speed Test 127 not found.
C:\Users\Виктор\AppData\Roaming\freegames111 folder moved successfully.
C:\Users\Виктор\AppData\Roaming\newnext.me\cache folder moved successfully.
C:\Users\Виктор\AppData\Roaming\newnext.me folder moved successfully.
C:\Users\Виктор\AppData\Roaming\speedtest4354 folder moved successfully.
File\Folder C:\Program Files (x86)\PC Performer not found.
C:\Users\Виктор\AppData\Local\genienext folder moved successfully.
File\Folder C:$Recycle.Bin\S-1-5-21-780889257-2962777411-3056619136-1000$R151I5Z.exe not found.
C:\Users\Виктор\AppData\Roaming\PerformerSoft folder moved successfully.
File\Folder C:\Windows\tasks\PC Performer_UPDATES.job not found.
File\Folder C:\Windows\tasks\PC Performer_DEFAULT.job not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: Виктор
->Temp folder emptied: 73222277 bytes
->Temporary Internet Files folder emptied: 46358562 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 17957042 bytes
->Google Chrome cache emptied: 268489525 bytes
->Opera cache emptied: 413411351 bytes
->Flash cache emptied: 52520 bytes

User: Все пользователи

User: ‚ЁЄв®а

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1003520 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 6172 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 266059955 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 87091 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1 036,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 02182014_204747

Files\Folders moved on Reboot…
C:\Users\Виктор\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

7

mbam

8

Не обращайте внимания на оповещения MBAM, можете отключить в нем веб-защиту.
Проблема с URL-Mal после выполнения скрипта наблюдается? Если да, то во всех браузерах или в каком-то определенном?

9

После проверки MBAM и удаления всего что он обнаружил компьютер в очередной раз перезагрузился чтобы удалить остаточные файлы. Просканировал ним еще раз всё чисто. Аваст молчит.
Спасибо огромное за помощь.
Вот только что это за процесс pandoracervice?

10

Всё, нашел эту пандору и удалил, еще раз спасибо за помощь

11

Запустите снова программу OTL by OldTimer и нажмите кнопку Cleanup для удаления программы.

12

Всё успешно удалено