Решена Компьютер инфицирован URL:Mal

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Jack, 17 окт 2015.

Метки:
Статус темы:
Закрыта.
  1. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Доброго времени суток.
    При работе в Opera (на всех страницах) постоянно всплывает сообщение Avast о блокировке: "Аваст заблокировал вредоносный сайт либо файл" "Заражение URL:Mal"

    Глубокое сканирование антивирусом результатов не дает - "угроз не найдено".
    Система - Windows 7 (64)

    Очень надеюсь на Вашу помощь.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\iexplore.bat', '');
    QuarantineFile('C:\launcher.bat', '');
    QuarantineFile('C:\opera.bat', '');
    DeleteFile('C:\iexplore.bat', '');
    DeleteFile('C:\launcher.bat', '');
    DeleteFile('C:\opera.bat', '');
    RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CMD');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(2);
    ExecuteWizard('SCU',2,3,true);
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text=
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text=
    R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
    O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit
    O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text=

     
    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  3. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Все выполнил, quarantine.zip отправил через указанную форму.
    в FRS Tool отметил галочкой только "Shortcut.txt"
    прикладываю все файлы
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-21-4155471671-2554711465-1502259218-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-4155471671-2554711465-1502259218-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-4155471671-2554711465-1502259218-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=05899fdf28d97369850d4f042166d89c&text=
    FF Extension: No Name - C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\rubc2kwr.default\extensions\scriptish@erikvold.com.xpi [not found]
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    Сообщите как дела.
     
  5. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Выполнил, отправляю файл.
    Пока, что проблема остается.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,4 КБ
      Просмотров:
      1
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  7. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Перед выполнением Ваших указаний обнаружил, что Аваст перестал выдавать сообщения о блокировке, хотя при предыдущем входе в Оперу "ругался" (компьютер не перезагружался).

    Сканирование выполнил в любом случае, отсылаю файл.
    После сканирования в AdwCleaner нужно было делать очистку отмененных галочкой файлов? (отмечены в разделах: Папки - 6шт., файлы - 2шт., реестр - 12шт.) ?
     

    Вложения:

  8. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.199
    Симпатии:
    4.970
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Повторите лог AdwCleaner (by Xplode)
     
  9. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Все выполнил, пока, что сообщение о блокировке не появляется.
    Высылаю файл.

    Пока продолжаю наблюдать за работой (вроде все нормально на данном этапе)
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Ещё раз лог сканирования AdwCleaner-а сделайте.
     
  11. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Провел сканирование с параметром по умолчанию "Сброс настроек Winsock" - заражения не обнаружено
    Высылаю файл.

    С параметрами:
    - Сброс политик IE
    - Сброс политик Chrome
    результат такой же - без заражения (если необходимо вышлю файл)

    В данный момент Опера работает нормально, Аваст молчит.
     

    Вложения:

  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    папку C:\FRST удалите.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  13. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Нашло 4 уязвимости.
    Необходимо пройти по указанным ссылкам и обновиться?
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    да.
     
  15. Jack
    Оффлайн

    Jack Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Благодарю Вашу команду за помощь!
     
Статус темы:
Закрыта.

Поделиться этой страницей