Добрый вечер.
Очень прошу помочь в решении проблемы удаления вируса URL:Mal.
Возник он буквально 3 дня назад, при скачивания записывающей программы Мирилисс Экшён. Аваст при скачке не выключал.
Аваст постоянно выпрыгивает и говорит что заблокировал вредоносный сайт/программу.
Выпрыгивание наблюдалось как и в браузере, так и без него.
Скрины:
http://gyazo.com/83a301cb146a20aa72d67a687cea0a7e
http://gyazo.com/d28b9ea6785e702eab5257ebf0df7230
Прошу помочь с проблемой.
partsdecisions, ссылку откуда скачали “программу Мирилисс Экшён” не дадите?
partsdecisions, здравствуйте и добро пожаловать на форум!
Подготовьте отчеты по инструкции: Логи для помощи в очистке компьютера от заражений и прикрепите их в следующем сообщении.
Примечание: пересохраните отчеты OTL.txt и Extras.txt в формате ANSI, для этого откройте текстовый файл, в меню Файл выберите Сохранить как… выберите кодировку ANSI и сохраните. После этого прикрепите отчет на форуме
Вот и отчёты.
Скачайте AdwCleaner на Рабочий стол
[*]запустите AdwCleaner и нажмите кнопку Сканировать
[*]После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1
Вот!
[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.
[*]Компьютер перезагрузится.
[*]После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
После перезагрузки, Аваст выскочил снова.
All processes killed
========== COMMANDS ==========
Restore point Set: OTL Restore Point
========== OTL ==========
C:\Users\German\AppData\Local\Google\Chrome\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
========== FILES ==========
C:\Users\German\AppData\Local\Google\Chrome\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\ProgramData\InstallMate\24C904AB\cfg folder moved successfully.
C:\ProgramData\InstallMate\24C904AB folder moved successfully.
C:\ProgramData\InstallMate folder moved successfully.
C:\ProgramData\praicaecuhuoP folder moved successfully.
C:\Program Files (x86)\praicaecuhuoP folder moved successfully.
C:\ProgramData\c32f326313481542 folder moved successfully.
C:\ProgramData\Adblocker folder moved successfully.
C:\Program Files (x86)\Adblocker folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\German\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\German\AppData\Local\Torch folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\Administrator\AppData\Local\Torch folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf\3.9 folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default\Extensions\eecleljdhchbmbbnnfdgfnfmppcdjgcf folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\HomeGroupUser$\AppData\Local\Torch folder moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EZDownloader folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: Administrator
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: German
->Temp folder emptied: 777827981 bytes
->Temporary Internet Files folder emptied: 350412093 bytes
->Java cache emptied: 8511 bytes
->Google Chrome cache emptied: 356634974 bytes
->Flash cache emptied: 2317 bytes
User: Guest
User: HomeGroupUser$
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 67312210 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33298 bytes
RecycleBin emptied: 968 bytes
Total Files Cleaned = 1 480,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 07112014_175538
Files\Folders moved on Reboot…
C:\Users\German\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\German\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\AvastLock.txt scheduled to be moved on reboot.
File\Folder C:\Windows\temp\TMP000000202C73D39E158A2FBD not found!
PendingFileRenameOperations files…
Registry entries deleted on Reboot…
partsdecisions, когда сообщение от аваст снова появится, во всплывающем сообщении нажмите кнопку Подробнее и скопируйте содержимое адресной строки браузера в следующее сообщение.
Это новый тип вируса, с этим должен справиться ComboFix 
Скачайте ComboFix :
Ссылка 1
Ссылка 2
ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол
[*]Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
[*]Примите соглашение и согласитесь на обновление, если программа попросит об этом
http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png
http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png
[*]После окончания, будет произведен отчет.
[*]Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.
Примечания:
Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.
Пока проблема не наблюдалась. Заново включаю Аваст.
Если проблем больше нет, то:
http://i1224.photobucket.com/albums/ee362/Essexboy3/Misc%20screen%20shots/CF_Uninstall-1.jpg
[]Следуйте инструкциям на экране
[]Должно появиться сообщение, подтверждающее, что ComboFix был удален
Большое спасибо, всё чисто и удалено.
Я на последок хотел бы спросить. У меня при запуске компа, врубаетса автоматом сайт. Это к Авасту не совсем относится, но это такая простая проблема, что я рискну спросить Не поможете ли вы?
Поможем 
Скачайте Farbar Recovery Scan Tool
https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1
и сохраните на Рабочем столе.
[color=green]Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[*]Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
[*]Убедитесь, что под окном Optional Scan отмечены “List BCD” и “Driver MD5”.
[*]Нажмите кнопку Scan.
[*]После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
[*]Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Прошу
Внимание! Данный скрипт был написан специально для этого пользователя! Использование его на другом компьютере может привести к неработоспособности ОС!
Прощу.
partsdecisions, судя по отчету, проблема решена?
Да, всё замечательно. Большое спасибо за быструю помощь.