Решена заражение url:mal

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Selena, 21 май 2016.

Метки:
Статус темы:
Закрыта.
  1. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Добрый вечер.
    Словила данный вирус или что бы то не было. Перечитала кучу страниц в инете, в том числе и на данном форуме. Воспользовалась AdwCleaner (by Xplode) и удалила всё что там было, перезагружала комп, чистила кэш. После перезагрузки компа вроди как всё нормально и аваст не кричал, но браузеры не работали минут 5, писало нельзя отобразить страницу, хотя инет был. После чего браузеры заработали и аваст опять начал кричать про этот url:mal.
    Прикрепляю данные с AdwCleaner (by Xplode) и расширения хрома.
    Буду рада если всё же ктото поможет избавиться от этого.

    А да, возможно что всё началось сегодня после какогото сайта sculkom, который мне пытались браузеры открыть. И при загружении компа появляеться табличка с подобной надписью про скулком.

    Спасибо.
     

    Вложения:

  2. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
  3. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Chinaski, так теперь я останусь без помощи?:Cray2:
     
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, вы сделайте ло по правилам, как написано в данной мною ссылке, прикрепите к сообщению и будет вам помощь
     
  5. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    вроди бы теперь всё прикрепила.
     

    Вложения:

  6. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, через панель управления удалите следующее ПО:
    Код (Text):
    baidu version 1.5 [20140624]-->"C:\Program Files (x86)\baidu\unins000.exe"
    Следующее ПО вам знакомо?
    Код (Text):
    SmilesExtensions version 2.1
    следующие расширения в Google Chrome вам знакомы?
    Код (Text):
    Extension dbaonaocldpohelilahfhnkmjankmbcc 2 Orbitum Speed Dial 5.3.1
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
    QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','');
    QuarantineFile('C:\Users\Natalia\Favorites\Links\Интернет.url','');
    DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
    DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','32');
    DeleteFile('C:\Users\Natalia\Favorites\Links\Интернет.url','32');
    RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wdodbzeryd');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):

    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
    O3-64 - Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
    O4-64 - HKCU\..\Run: [wdodbzeryd] explorer "http://sculkom.ru/?utm_source=uoua03&utm_content=b409c088ec94b169a9cc060bac8f7a53&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520"
     
    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    Сделайте еще раз лог AdwCleaner.
     
    Kиpилл нравится это.
  7. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    такого не знаю.
    архив отправила, автолог сделан и прикрепляю лог клинера.
    Что интересно, так заходя в гугл для поиска, нажимаю энтер и поиск происходит в mail.ru
    Надпись sculkom при загрузке компа пропала и вроди бы аваст не кричит пока что или же он спит :Beach:

    Буду признательна, если можно будет убрать таблички status ( прикрепила файл) при постоянном появлении когда комп загружается.
    --- Объединённое сообщение, 22 май 2016 ---
    Забыла добавить, что появляются разные рекламки на самих страницах как прикреплённая. А так же выскакивают в новых окнах при нажатии на любой странице, в любом месте. Например открыла гугл, нажимаю на строку поиска чтоб вписать чтото и открывается новое окно с непонятно чем.
     

    Вложения:

    Последнее редактирование: 22 май 2016
  8. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    аваст опять проснулся на жалобы url:mal :(
     
  9. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, baidu получилось удалить?
    SmilesExtensions version 2.1 - удалите раз незнакомо.


    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  10. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    baidu удалила, а вот SmilesExtensions version 2.1 не удаляется - прикрепляю скрин проблемы.
     

    Вложения:

  11. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena,
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    ShortcutWithArgument: C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://dugado.ru/?utm_source=startlink03&utm_content=913a400690e9215936bbb42eafe983fd&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520"
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-450490146-3207807364-1670418160-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    Toolbar: HKU\S-1-5-21-450490146-3207807364-1670418160-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    CHR HomePage: Default -> hxxp://sculkom.ru/?utm_source=startpage03&utm_content=b5ffbb66037a5a623c80bfe368604a00&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Запустите AVZ, сервис - поиск данных в реестре, в строке поиска введите SmilesExtensions нажмите "Пуск", после сохраните протокол и прикрепите к сообщению.
     
  12. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    а как в авз поиск данных в реестре на англ.?
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,4 КБ
      Просмотров:
      4
  13. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, что-то типа search data registry
     
  14. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    это с АВЗ.
    аваст всеравно кричит, после наших процедур.
     

    Вложения:

    • Export.txt
      Размер файла:
      526 байт
      Просмотров:
      5
  15. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, еще раз выполните поиск данных в реестре и удалите все найденные ключи с именем SmilesExtensions

    Сделайте повторные логи по правилам.
     
  16. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    SmilesExtensions 2 удалила, но антивирус внезапно выкрикнул, что есть ещё 3, хотя в авз они не появлялись.
     

    Вложения:

  17. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, ну а показать то что "выкрикнул" антивирус не судьба? там же можно показать имена файлов и сделать например скриншот.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
    QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','');
    QuarantineFile('C:\Users\Natalia\Favorites\Links\Интернет.url','');
    DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
    DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','32');
    DeleteFile('C:\Users\Natalia\Favorites\Links\Интернет.url','32');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


    проверьте проблему
     
  18. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Chinaski, а в антивирусе не было ничего написано, помимо того что " SmilesExtensions 2.1 не удалён полностью, есть ещё 3 файла". Зайти и посмотреть где и что нельзя было. Максимум что можно было сделать это функция "излечить", где надо сначало приобрести абонемент лечения за денюжку.
    архив отправила.

    Зашла на несколько сайтов, аваст пока молчит. Но приплывшие от процедур рекламки и поиск вместо гугла в маил.ру так и остались.
     
    Последнее редактирование: 26 май 2016
  19. Selena
    Оффлайн

    Selena Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    к сожалению сегодня аваст опять начал кричать.
     

    Вложения:

    • avast.jpg
      avast.jpg
      Размер файла:
      79,5 КБ
      Просмотров:
      11
  20. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Selena, рекламные страницы открываются только в Google Chrome? Если то попробуйте сделать сброс настроек
     
Статус темы:
Закрыта.

Поделиться этой страницей