URL:mal

Non-English Boards Русский
1

Добрый день !
Суть проблемы:
проигнорировав предупреждение AVAST о неблагонадежности источника, начал закачку файла, после этого при открытии новой страницы в Firefox сетевой экран AVAST каждый раз выдывал сообщение о блокировке URL:mal.
Просканировал AVASTом, Касперским - они нашли кучу всего, поместили в карантин. Попутно удалил куки, переставил Firefox.
Теперь сетевой экран молчит, но появилась куча всяких всплывающих рекламных сообщений при открытии новой страницы, иногда открываются страницы с рекламой самостоятельно.
При использовании IE ничего подобного не наблюдается.
Логи прилагаю (aswMBR не смог закончить сканирование (пробовал 5 раз, текст ошибки прилагаю)).
Заранее спасибо !

2

Greg81, здравствуйте и добро пожаловать на форум!

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Скачайте Farbar Recovery Scan Tool
https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1
и сохраните на Рабочем столе.

[color=green]Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

[*]Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
[*]Убедитесь, что под окном Optional Scan отмечены “List BCD” и “Driver MD5”.
[*]Нажмите кнопку Scan.
[*]После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
[*]Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1

3

All processes killed
========== OTL ==========
Service {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64 stopped successfully!
Service {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64 deleted successfully!
C:\Windows\SysNative\drivers{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{8984B388-A5BB-4DF7-B274-77B879E179DB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{8984B388-A5BB-4DF7-B274-77B879E179DB}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{855F3B16-6D32-4FE6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{855F3B16-6D32-4FE6-8A56-BBB695989046}\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-3996929059-3843543868-2281997192-3008\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{09900DE8-1DCA-443F-9243-26FF581438AF} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{09900DE8-1DCA-443F-9243-26FF581438AF}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ deleted successfully.
========== FILES ==========
File\Folder C:\Program Files (x86)\webget not found.
File\Folder C:\Program Files (x86)\ICQ6Toolbar not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: administrator
->Temp folder emptied: 316984 bytes
->Temporary Internet Files folder emptied: 14102097 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: magaras
->Temp folder emptied: 2242426549 bytes
->Temporary Internet Files folder emptied: 1190392911 bytes
->FireFox cache emptied: 303565781 bytes
->Flash cache emptied: 2284 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: user
->Temp folder emptied: 102783440 bytes
->Temporary Internet Files folder emptied: 83001031 bytes
->Flash cache emptied: 1145 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 942799986 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42329620 bytes
RecycleBin emptied: 14449813 bytes

Total Files Cleaned = 4 708,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 05122014_102154

Files\Folders moved on Reboot…
C:\Users\magaras\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\magaras\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\W3V0HL2L\index[7].htm moved successfully.
C:\Users\magaras\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\2CZWTOX7\yandsearch[3].htm moved successfully.
C:\Users\magaras\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\4A72F430-B40C-4D36-A068-CE33ADA5ADF9.dat moved successfully.
C:\Users\magaras\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
C:\Users\magaras\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

4

Greg81, Вы прикрепили файл fix.txt, вместо FRST.txt

5

пардон, поторопился…

6

Greg81, по отчетам я не вижу проблем, проблема наблюдается?

7

Andrey,pro, проблема сейчас выражается только в том, что при открытии некоторых страниц (sport-express.ru, например) Malwarebytes’ Anti-Malware выдает сообщение о блокировке вредоносного сайта (PrtCs прилагаю).

8

Эта проблема возникает во всех браузерах или только в каком-то определенном?

9

Извините !!!
У вас работает MBAM какой версии ? И с ним ещё работает Аваст ?
У MBAM есть в лицензионной версии сетевой экран,он и блокирует вам эти сайты.Отключите его.
Лучше с Авастом применять только сканер MBAM,а не всю программу целиком.

10

Да, сообщение о блокировании появляется во всех браузерах (точнее в двух, у меня стоит Firefox и IE).

11

Стоит
Malwarebytes Anti-Malware 2.0.1.1004
(c) Malwarebytes Corporation. All rights reserved.
Дата сборки: 03.04.2014
(поставил чтобы сделать лог, раньше не использовал)
+
Avast
Текущая версия 140514-2.

Понимаю, что если отключить сетевой экран, то сообщений о блокировании не будет, просто хочу понять нормально ли это…

12

это не нормально.

Скачайте AdwCleaner на Рабочий стол

  • запустите AdwCleaner и нажмите кнопку Сканировать

http://cdn.comss.net/img/AdwCleaner_1.png

[*]После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении

13

Прилагаю отчет

14

Оставьте галочки только напротив следующих строк:

Папка Найдено : C:\Users\magaras\AppData\Local\genienext
Папка Найдено : C:\Users\magaras\AppData\Local\Mobogenie
Папка Найдено : C:\Users\magaras\Documents\Mobogenie
Файл Найдено : C:\Users\magaras\daemonprocess.txt

Значение Найдено : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{25A3A431-30BB-47C8-AD6A-E1063801134F}]
Значение Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [mobilegeni daemon]

Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Ключ Найдено : HKLM\SOFTWARE\Classes\AppID\{5D723752-5899-47E8-99B4-62C824EF9E13}
Ключ Найдено : HKLM\SOFTWARE\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{17B10E59-09E1-4C39-A738-6774D7AB7778}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{1AD2049E-E483-4425-8555-8E0775ACB631}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{2D73F2D0-2FAB-458E-977D-2F9050E0ED60}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{2D9083CE-8758-4704-BA57-3C891D7452BD}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{3E9469AF-E866-4476-B767-810630F1F6E7}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{47700C35-9E3E-4DAD-934C-0CE28A87237C}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{716E443D-7CAA-44F1-866B-F45D00E712CC}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{72063D77-7590-4DA9-A7F8-F5ECAF3632C4}
Ключ Найдено : [x64] HKLM\SOFTWARE\Classes\Interface\{7FC87AC5-FA93-476E-A32C-A941229DED0B}

и нажмите кнопку Очистить.