Решена заражение url:mal

Статус
В этой теме нельзя размещать новые ответы.

Selena

Пользователь
Сообщения
15
Реакции
0
Добрый вечер.
Словила данный вирус или что бы то не было. Перечитала кучу страниц в инете, в том числе и на данном форуме. Воспользовалась AdwCleaner (by Xplode) и удалила всё что там было, перезагружала комп, чистила кэш. После перезагрузки компа вроди как всё нормально и аваст не кричал, но браузеры не работали минут 5, писало нельзя отобразить страницу, хотя инет был. После чего браузеры заработали и аваст опять начал кричать про этот url:mal.
Прикрепляю данные с AdwCleaner (by Xplode) и расширения хрома.
Буду рада если всё же ктото поможет избавиться от этого.

А да, возможно что всё началось сегодня после какогото сайта sculkom, который мне пытались браузеры открыть. И при загружении компа появляеться табличка с подобной надписью про скулком.

Спасибо.
 

Вложения

  • avast.jpg
    avast.jpg
    45.3 KB · Просмотры: 55
  • AdwCleaner[C1].txt
    20.1 KB · Просмотры: 1
  • Безымянный.jpg
    Безымянный.jpg
    42.5 KB · Просмотры: 52
  • AdwCleaner[S1].txt
    21.4 KB · Просмотры: 1
  • chrome.jpg
    chrome.jpg
    30.8 KB · Просмотры: 58

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
485
Selena, вы сделайте ло по правилам, как написано в данной мною ссылке, прикрепите к сообщению и будет вам помощь
 

Selena

Пользователь
Сообщения
15
Реакции
0
вроди бы теперь всё прикрепила.
 

Вложения

  • CollectionLog-2016.05.21-21.44.zip
    108.8 KB · Просмотры: 1

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
485
Selena, через панель управления удалите следующее ПО:
Код:
baidu version 1.5 [20140624]-->"C:\Program Files (x86)\baidu\unins000.exe"

Следующее ПО вам знакомо?
Код:
SmilesExtensions version 2.1

следующие расширения в Google Chrome вам знакомы?
Код:
Extension dbaonaocldpohelilahfhnkmjankmbcc 2 Orbitum Speed Dial 5.3.1

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','');
QuarantineFile('C:\Users\Natalia\Favorites\Links\Интернет.url','');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','32');
DeleteFile('C:\Users\Natalia\Favorites\Links\Интернет.url','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wdodbzeryd');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3-64 - Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4-64 - HKCU\..\Run: [wdodbzeryd] explorer "http://sculkom.ru/?utm_source=uoua03&utm_content=b409c088ec94b169a9cc060bac8f7a53&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520"

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Сделайте еще раз лог AdwCleaner.
 

Selena

Пользователь
Сообщения
15
Реакции
0
Следующее ПО вам знакомо?
Код (Text):
SmilesExtensions version 2.1
следующие расширения в Google Chrome вам знакомы?
Код (Text):
Extension dbaonaocldpohelilahfhnkmjankmbcc 2 Orbitum Speed Dial 5.3.1
такого не знаю.
архив отправила, автолог сделан и прикрепляю лог клинера.
Что интересно, так заходя в гугл для поиска, нажимаю энтер и поиск происходит в mail.ru
Надпись sculkom при загрузке компа пропала и вроди бы аваст не кричит пока что или же он спит :Beach:

Буду признательна, если можно будет убрать таблички status ( прикрепила файл) при постоянном появлении когда комп загружается.
Забыла добавить, что появляются разные рекламки на самих страницах как прикреплённая. А так же выскакивают в новых окнах при нажатии на любой странице, в любом месте. Например открыла гугл, нажимаю на строку поиска чтоб вписать чтото и открывается новое окно с непонятно чем.
 

Вложения

  • AdwCleaner[S2].txt
    1.6 KB · Просмотры: 3
  • status.jpg
    status.jpg
    38.7 KB · Просмотры: 55
  • рекламки.jpg
    рекламки.jpg
    13.4 KB · Просмотры: 48
Последнее редактирование:

Selena

Пользователь
Сообщения
15
Реакции
0
аваст опять проснулся на жалобы url:mal :(
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
485
Selena, baidu получилось удалить?
SmilesExtensions version 2.1 - удалите раз незнакомо.


  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Selena

Пользователь
Сообщения
15
Реакции
0
baidu удалила, а вот SmilesExtensions version 2.1 не удаляется - прикрепляю скрин проблемы.
 

Вложения

  • не удачное удаление.jpg
    не удачное удаление.jpg
    55.6 KB · Просмотры: 49
  • Addition.txt
    40.7 KB · Просмотры: 1
  • FRST.txt
    63.3 KB · Просмотры: 2
  • Shortcut.txt
    62.1 KB · Просмотры: 0
  • AdwCleaner[C2].txt
    1.7 KB · Просмотры: 1

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
485
Selena,
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://dugado.ru/?utm_source=startlink03&utm_content=913a400690e9215936bbb42eafe983fd&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520"
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-450490146-3207807364-1670418160-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-450490146-3207807364-1670418160-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HomePage: Default -> hxxp://sculkom.ru/?utm_source=startpage03&utm_content=b5ffbb66037a5a623c80bfe368604a00&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Запустите AVZ, сервис - поиск данных в реестре, в строке поиска введите SmilesExtensions нажмите "Пуск", после сохраните протокол и прикрепите к сообщению.
 

Selena

Пользователь
Сообщения
15
Реакции
0
а как в авз поиск данных в реестре на англ.?
 

Вложения

  • Fixlog.txt
    2.4 KB · Просмотры: 4

Selena

Пользователь
Сообщения
15
Реакции
0
это с АВЗ.
аваст всеравно кричит, после наших процедур.
 

Вложения

  • Export.txt
    526 байт · Просмотры: 5

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
485
Selena, еще раз выполните поиск данных в реестре и удалите все найденные ключи с именем SmilesExtensions

Сделайте повторные логи по правилам.
 

Selena

Пользователь
Сообщения
15
Реакции
0
SmilesExtensions 2 удалила, но антивирус внезапно выкрикнул, что есть ещё 3, хотя в авз они не появлялись.
 

Вложения

  • CollectionLog-2016.05.26-22.05.zip
    99.2 KB · Просмотры: 2

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
485
Selena, ну а показать то что "выкрикнул" антивирус не судьба? там же можно показать имена файлов и сделать например скриншот.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','');
QuarantineFile('C:\Users\Natalia\Favorites\Links\Интернет.url','');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','32');
DeleteFile('C:\Users\Natalia\Favorites\Links\Интернет.url','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


проверьте проблему
 

Selena

Пользователь
Сообщения
15
Реакции
0
Chinaski, а в антивирусе не было ничего написано, помимо того что " SmilesExtensions 2.1 не удалён полностью, есть ещё 3 файла". Зайти и посмотреть где и что нельзя было. Максимум что можно было сделать это функция "излечить", где надо сначало приобрести абонемент лечения за денюжку.
архив отправила.

Зашла на несколько сайтов, аваст пока молчит. Но приплывшие от процедур рекламки и поиск вместо гугла в маил.ру так и остались.
 
Последнее редактирование:

Selena

Пользователь
Сообщения
15
Реакции
0
к сожалению сегодня аваст опять начал кричать.
 

Вложения

  • avast.jpg
    avast.jpg
    70.4 KB · Просмотры: 45
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу