Решена заражение url:mal

[Selena]

Добрый вечер.
Словила данный вирус или что бы то не было. Перечитала кучу страниц в инете, в том числе и на данном форуме. Воспользовалась AdwCleaner (by Xplode) и удалила всё что там было, перезагружала комп, чистила кэш. После перезагрузки компа вроди как всё нормально и аваст не кричал, но браузеры не работали минут 5, писало нельзя отобразить страницу, хотя инет был. После чего браузеры заработали и аваст опять начал кричать про этот url:mal.
Прикрепляю данные с AdwCleaner (by Xplode) и расширения хрома.
Буду рада если всё же ктото поможет избавиться от этого.

А да, возможно что всё началось сегодня после какогото сайта sculkom, который мне пытались браузеры открыть. И при загружении компа появляеться табличка с подобной надписью про скулком.

Спасибо.

 

[Chinaski]

Selena, то что вы читали хорошо, но читать надо было в первую очередь правила оформления запросов о помощи

 

[Selena]

Chinaski, так теперь я останусь без помощи?

 

[Chinaski]

Selena, вы сделайте ло по правилам, как написано в данной мною ссылке, прикрепите к сообщению и будет вам помощь

 

[Selena]

вроди бы теперь всё прикрепила.

 

[Chinaski]

Selena, через панель управления удалите следующее ПО:

baidu version 1.5 [20140624]-->"C:\Program Files (x86)\baidu\unins000.exe"

Следующее ПО вам знакомо?

SmilesExtensions version 2.1

следующие расширения в Google Chrome вам знакомы?

Extension dbaonaocldpohelilahfhnkmjankmbcc 2 Orbitum Speed Dial 5.3.1

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','');
QuarantineFile('C:\Users\Natalia\Favorites\Links\Интернет.url','');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','32');
DeleteFile('C:\Users\Natalia\Favorites\Links\Интернет.url','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wdodbzeryd');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3-64 - Toolbar: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - (no file)
O4-64 - HKCU\..\Run: [wdodbzeryd] explorer "http://sculkom.ru/?utm_source=uoua03&utm_content=b409c088ec94b169a9cc060bac8f7a53&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520"

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


Сделайте еще раз лог AdwCleaner.

 

[Selena]

Следующее ПО вам знакомо?
Код (Text):
SmilesExtensions version 2.1
следующие расширения в Google Chrome вам знакомы?
Код (Text):
Extension dbaonaocldpohelilahfhnkmjankmbcc 2 Orbitum Speed Dial 5.3.1

такого не знаю.
архив отправила, автолог сделан и прикрепляю лог клинера.
Что интересно, так заходя в гугл для поиска, нажимаю энтер и поиск происходит в mail.ru
Надпись sculkom при загрузке компа пропала и вроди бы аваст не кричит пока что или же он спит

Буду признательна, если можно будет убрать таблички status ( прикрепила файл) при постоянном появлении когда комп загружается.
Забыла добавить, что появляются разные рекламки на самих страницах как прикреплённая. А так же выскакивают в новых окнах при нажатии на любой странице, в любом месте. Например открыла гугл, нажимаю на строку поиска чтоб вписать чтото и открывается новое окно с непонятно чем.

 

[Selena]

аваст опять проснулся на жалобы url:mal

 

[Chinaski]

Selena, baidu получилось удалить?
SmilesExtensions version 2.1 - удалите раз незнакомо.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Selena]

baidu удалила, а вот SmilesExtensions version 2.1 не удаляется - прикрепляю скрин проблемы.

 

[Chinaski]

Selena,
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
ShortcutWithArgument: C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://dugado.ru/?utm_source=startlink03&utm_content=913a400690e9215936bbb42eafe983fd&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520"
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-450490146-3207807364-1670418160-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-450490146-3207807364-1670418160-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HomePage: Default -> hxxp://sculkom.ru/?utm_source=startpage03&utm_content=b5ffbb66037a5a623c80bfe368604a00&utm_term=7ACB8025CBF743F1D5DE25E237D70DC1&utm_d=20160520
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Запустите AVZ, сервис - поиск данных в реестре, в строке поиска введите SmilesExtensions нажмите "Пуск", после сохраните протокол и прикрепите к сообщению.

 

[Selena]

а как в авз поиск данных в реестре на англ.?

 

[Chinaski]

Selena, что-то типа search data registry

 

[Selena]

это с АВЗ.
аваст всеравно кричит, после наших процедур.

 

[Chinaski]

Selena, еще раз выполните поиск данных в реестре и удалите все найденные ключи с именем SmilesExtensions

Сделайте повторные логи по правилам.

 

[Selena]

SmilesExtensions 2 удалила, но антивирус внезапно выкрикнул, что есть ещё 3, хотя в авз они не появлялись.

 

[Chinaski]

Selena, ну а показать то что "выкрикнул" антивирус не судьба? там же можно показать имена файлов и сделать например скриншот.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','');
QuarantineFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','');
QuarantineFile('C:\Users\Natalia\Favorites\Links\Интернет.url','');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk','32');
DeleteFile('C:\Users\Natalia\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico','32');
DeleteFile('C:\Users\Natalia\Favorites\Links\Интернет.url','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


проверьте проблему

 

[Selena]

Chinaski, а в антивирусе не было ничего написано, помимо того что " SmilesExtensions 2.1 не удалён полностью, есть ещё 3 файла". Зайти и посмотреть где и что нельзя было. Максимум что можно было сделать это функция "излечить", где надо сначало приобрести абонемент лечения за денюжку.
архив отправила.

Зашла на несколько сайтов, аваст пока молчит. Но приплывшие от процедур рекламки и поиск вместо гугла в маил.ру так и остались.

 

[Selena]

к сожалению сегодня аваст опять начал кричать.

 

[Chinaski]

Selena, рекламные страницы открываются только в Google Chrome? Если то попробуйте сделать сброс настроек