Здравствуйте! С недавних пор avast free стал изредко “ругаться” при просмотре обычных сайтов типа youtube, 3dnews и т.п. Сообщение о блокировке вредоносного сайта или файла всегда одно и то же, выскакивает примерно раз в день, или раз в два дня. Версия антивируса последняя, ОС windows 8.1 лицензия. По левым сайтам не хожу, все, что скачиваю обязательно проверяю антивирусом. Сообщение вот такое:
Объект: hxxp://80.82.78.169/crossdomain.xml;
Заражение: URL:Mal;
Процесс: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Скорее всего, Ваш компьютер заражен. Подготовьте отчеты по инструкции: Логи для помощи в очистке компьютера от заражений и прикрепите их в следующем сообщении.
Спасибо за оперативный ответ! Вот логи.
[*]Сохраните прикрепленный файл fixlist.txt на Рабочий стол
[*]Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[*]Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
А что за вирус я подцепил?
Я не увидел в отчетах ничего вредоносного.
Проверьте файл MBR.dat, который расположен на Рабочем столе (C:\Users\Alexander\Desktop), на virustotal:
[*]нажмите кнопку Выбрать файл - найдите нужный файл у вас в системе - Открыть - Проверить.
[*]Нажмите на кнопку Повторить анализ, если данная кнопка будет доступна.
[*]Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) cкопируйте и укажите в следующем сообщении.
Проблема по-прежнему наблюдается?
Предупреждение avast выскакивает раз в сутки или реже, так что сейчас сказать трудно. А Вы могли бы разъяснить мне, что это за URL: hxxp://80.82.78.169/crossdomain.xml, и зачем надо было запускать fix в FRST, если не трудно? :
ipvoid показывает, что на этом ip зарегистрировано несколько сайтов: http://www.urlvoid.com/ip/80.82.78.169 , на какой из них происходит переход-я не знаю.
Скрипт FRST просто удалил хвосты от удаленных программ:
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CustomCLSID: HKU\S-1-5-21-53194830-3912310077-803906619-1001_Classes\CLSID\{64A9418A-B6B1-4112-B75C-E61633C9A31F}\InprocServer32 -> C:\Users\ALEXAN~1\AppData\Local\Temp\mcse64_00.dll No File
CustomCLSID: HKU\S-1-5-21-53194830-3912310077-803906619-1001_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> C:\Users\ALEXAN~1\AppData\Local\Temp\mcse64_00.dll No File
CustomCLSID: HKU\S-1-5-21-53194830-3912310077-803906619-1001_Classes\CLSID\{6A2E142B-EA63-433A-AC05-5223CBD26E65}\InprocServer32 -> C:\Users\ALEXAN~1\AppData\Local\Temp\mcse64_00.dll No File
CustomCLSID: HKU\S-1-5-21-53194830-3912310077-803906619-1001_Classes\CLSID\{6AFCC535-2F12-4F50-9F0A-1CF856CFC95D}\InprocServer32 -> C:\Users\ALEXAN~1\AppData\Local\Temp\mcse64_00.dll No File
- очистил временные файлы:
CMD: DEL %WINDIR%\TEMP\*.* /F /S /Q
CMD: RD /S /Q %WINDIR%\TEMP
Понаблюдайте за системой, если проблема снова появится, то сообщите об этом.
Хорошо, спасибо! Если проблема опять появится, напишу в этой теме.
При переходе на 3dnews, опять выскочило то же самое предупреждение… >:(
Кстати, обычно через пару минут после сообщения об угрозе обновляется база avast, не знаю как это связано…
Хмм… Не похоже это на ложное срабатывание: https://www.virustotal.com/ru/url/66543cc69cc466d621d76a67d48322dca9c2760037a30e4ecfe6e7c97f338ee7/analysis/1407777736/
Скачайте AdwCleaner на Рабочий стол
[*]запустите AdwCleaner и нажмите кнопку Сканировать
[*]После того, как сканирование будет окончено, нажмите кнопку Отчет, будет создан отчет, прикрепите его в следующем сообщении
https://www.dropbox.com/s/4u4duczgoe2eopv/AdwCleaner.png?dl=1
Вот.
Ваш компьютер чист, но почему происходит переход и блокировка сайта-я пока не знаю. Проблема наблюдается только при заходе на сайты?
Да, проблема наблюдается только при заходе на сайты, причем проявляется довольно редко. Я сам не знаю что делать…
Проблема не только у Вас, поэтому шансы обнаружить причину выше, а пока придется немного подождать…
Andrey,pro, После переустановки ОС (давно собирался это сделать, нашелся повод) с полным форматированием жесткого диска, сообщение об угрозе вновь выскочило при посещении 3dnews, причем этот сайт я посещаю очень много раз в день, и сообщение об угрозе выскочило всего один раз…Что Вы думаете по этому поводу, с учетом того, что все логи сделанные до переустановки ОС указывали на то, что моя система не заражена?
Проверьте сами этот сайт ваш на этих сайтах-сканерах:
http://sitecheck.sucuri.net/results/etomne.ru/
http://urlvoid.com/
https://www.virustotal.com/ru/#url
http://antivirus-alarm.ru/proverka/?url
http://zulu.zscaler.com/
http://app.webinspector.com/
http://vms.drweb.com/online/?lng=ru
И результаты сами проанализируйте.Если что непонятно,то ссылки на отчёты проверок поместите сюда в тему.Андрей вам скажет своё мнение об этом явлении.
shuher92, проблема наблюдается только на этом сайте? К сожалению, я не пользуюсь данным ресурсом и не могу проверить, наблюдается ли проблема у меня.