Заражение: URL

Добрый день.
Аваст начал ругаться на заражение URL:Mal процесса windows/system32/wscript.exe
блокирует сайты вроде такого:
http://www.avast.ru/lp-pr-virus-alert?p_ext=chrome&utm_campaign=Virus_alert&utm_source=prg_ise_90_0&utm_medium=prg_systray&utm_content=.%2Fpaid%2Fru-ru%2Fvirus-alert-default&p_vir=URL:Mal&p_prc=C:\Windows\System32\wscript.exe&p_obj=http://personnalitemultinivel.com.br/.esaod/&p_var=.%2Fpaid%2Fru-ru%2Fvirus-alert-default&p_elm=7&p_lex=356&p_lid=ru-ru&p_lng=ru&p_lqa=1&p_lqe=1&p_lst=0&p_lsu=12&p_pro=2&p_bld=empty&p_vep=9&p_ves=0&p_sts=0&p_vbd=2013&p_hid=51b19e5f-9cf7-4611-a7ea-2db8894611aa&p_ram=4090&p_cpu=5%2C6

Операционная система Windows 7 SP1, антивирус Avast! Internet Sequrity 2014.9.0.2013.
Источник нашёл - флешка (папки подменены ярлыками), но лечение ни компьютера, ни флешки, успеха не приносит.
Не подскажете, что делать?

Santolomeus, здравствуйте и добро пожаловать на форум!

Для плодотворной работы рекомендуем ознакомиться с темой Информация о форуме.

Для подготовки отчётов (логов), необходимых для лечения Вашего компьютера от заражений, рекомендуем ознакомиться с темой Логи для помощи в очистке компьютера от заражений.
Пока мы не вылечим компьютер, пожалуйста, не вставляйте флешки в компьютер.

Не стесняйтесь задавать вопросы, если Вам что-то непонятно. Желаем удачи!

Спасибо, Андрей, извините за первый безграмотный пост.
К сожалению, при запуске ВСЕХ утилит, которые указаны вами в теме “логи для помощи…” машина закрывает их на произвольном этапе. Пришлось запускать только в безопасном режиме без загрузки сетевых драйверов. aswMBR виснет вместе с системой на проверке профиля пользователя. Не знаю, может это поможет.
Логи, которые получается добыть, прилагаю. Там все, кроме от aswMBR. Если получится его таки добыть из-под безопасного режима, сразу же выложу.
OTL сформировал только один файл, а не два, как говорилось в мануале.

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Подготовьте новый отчет OTL.

Выполнил, машина стала работать чуть быстрее и через 5-7 минуты работы наглухо вешает все процессы и даже не перезагружается. OTL не может отработать при штатной загрузке, самозакрывается на ровном месте через минут 5 после запуска, приходится опять в сэйф режиме делать повторный лог. Аваст! всё так же реагирует на инфекцию.
Новый лог OTL в приложении. Заранее спасибо.

Update:
Текст результатов фикса не влезает сюда, прикладываю в виде файла тоже.

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Подготовьте новый отчет OTL.

Андрей, спасибо огромное.
Во-первых, аваст! перестал ругаться на инфицирование. Совсем.
Во-вторых, снялась блокировка с диспетчера задач.
В третьих, исчезли зависания/сбросы утилит, OTL впервые отработал штатно, лог прилагаю.

Судя по всему, мои мытарства закончены, проблем пока не вижу. Очень рад, что обратился к вам и выбрал аваст! для семейного компьютера. Спасибо, Андрей, очень выручили!

Отчет фикса:
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-313607372-2897344276-807756217-1000\Software\Microsoft\Windows\CurrentVersion\Run\07f7 deleted successfully.
C:\Users\Александра\AppData\Roaming\11e1\07f7.js moved successfully.
C:\Users\Александра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\50b65.js moved successfully.
C:\Users\Александра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\53b.js moved successfully.
C:\Users\Александра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\55b55.js moved successfully.
C:\Users\Александра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5ab5.js moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\S-1-5-21-313607372-2897344276-807756217-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\S-1-5-21-313607372-2897344276-807756217-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\DisableRegistryTools deleted successfully.
========== FILES ==========
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\50b65.js moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\53b.js moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\55b55.js moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\5ab5.js moved successfully.
File\Folder C:\Users\Александра\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.js not found.
File\Folder C:\Program Files (x86)\MiPony not found.
C:\Program Files\0ee9 folder moved successfully.
C:\Users\Александра\AppData\Roaming\11e1 folder moved successfully.
C:\1006 folder moved successfully.
C:\Users\Александра\AppData\Local\AnyProtectScannerSetup.exe moved successfully.
C:\Users\Александра\AppData\Local\SaveSense folder moved successfully.
C:\Windows\tasks\APSnotifierCA.job moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: hedev
->Temp folder emptied: 0 bytes

User: Public

User: Александра
->Temp folder emptied: 71251 bytes
->Temporary Internet Files folder emptied: 6540 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 7856075 bytes
->Flash cache emptied: 1066 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 48612062 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 54,00 mb

Unable to start System Restore Service. Error code 1629

OTL by OldTimer - Version 3.2.69.0 log created on 02162014_224511

Files\Folders moved on Reboot…
C:\Users\Александра\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Александра\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

Остался один вопрос - как вылечить флешку? Можно ли её подключать к компу, а то не хочется снова оказаться в такой же ситуациию…

Если нужных файлов там нет, то просто отформатировать её.

Выглядит намного лучше :slight_smile: Еще один фикс для OTL и переходим к лечению зараженного флеш-накопителя, пожалуйста, не подключайте его к компьютеру!

[*]Скачайте прикрепленный файл fix.txt на Рабочий стол
[*]запустите снова программу OTL by OldTimer и нажмите run fix
[*]OTL спросит о местонахождении файла fix.txt
[*]Выберите файл, который Вы загрузили, и снова нажмите run fix.

  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Сделано! Флешка лежит на столе, смотрит на меня нехорошо…

Отчет фикса:
All processes killed
========== OTL ==========
========== FILES ==========
File\Folder C:\Program Files\0ee9 not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: hedev
->Temp folder emptied: 0 bytes

User: Public

User: Александра
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 128 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 2950694 bytes
->Flash cache emptied: 862 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 48612062 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 128 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 49,00 mb

Unable to start System Restore Service. Error code 1629

OTL by OldTimer - Version 3.2.69.0 log created on 02162014_232612

Files\Folders moved on Reboot…
C:\Users\Александра\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Александра\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

[*]Скачайте McShield на Рабочий стол и установите.
[*]Запустится первоначальное сканирование и результаты будут показаны во всплывающем окне около системных часов.
[*]Затем в центре управления выберите сканер и отметьте всегда отображать элементы на флэш-накопителях.

https://www.dropbox.com/s/pqb8u4eir3pcc3s/MCShield.3.0.3.262.png?dl=1

[*]Вставьте флэш-накопитель и MCShield начнет сканирование.
[*]Затем прикрепите отчет, который будет расположен здесь: Пуск > Все программы > MCShield > logs > all scans

Кажется, и любимые мультики дочки спасены )) Спасибо огромнейшее вам и вашей команде, Андрей ) И доброй ночи. Утром моя маленькая сможет посмотреть своих любимых Винни-Пуха и смешариков )

  1. Проведите повторное сканирование с помощью Malwarebytes Anti-Malware и удалите все обнаруженные объекты (мне не удалось исправить отключенное Восстановление системы).
  2. Пожалуйста, запакуйте папку C:_OTL\MovedFiles в архив с паролем virus и загрузите его на любой файлообменник (например, http://rghost.ru/ ) и укажите ссылку на загрузку файла.
  3. Запустите снова программу OTL by OldTimer и нажмите кнопку Cleanup для удаления программы. Советую оставить MCShield на компьютере, чтобы предотвратить заражение ПК через съемные носители, а MBAM для сканирования компьютера по требованию. Остальные программы можно удалить.
  1. Сделано. Вы были правы, восстановление системы было поломано:
    Объекты реестра обнаружены: 2
    HKCU\SOFTWARE\Policies\Microsoft\Windows\System|DisableCMD (PUM.Hijack.CMDPrompt) → Плохо: (1) Хорошо: (0) → Помещено в карантин и успешно исправлено.
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) → Плохо: (1) Хорошо: (0) → Помещено в карантин и успешно исправлено.
  2. Сделано. <Ссылка удалена>
  3. Спасибо, MCShield и MBAM оставлю, полезные.

Спасибо за предоставленные образцы, в скором времени они будут определяться авастом. Пожалуйста, отредактируйте свое сообщение и удалите ссылку на загрузку архива с вирусами из сообщения.

Сделано. Спасибище! ))