URL: Mal

@Oxland · Регистрация: 31.05.2013

Студворк — интернет-сервис помощи студентам

При заходе на некоторые сайты выскакивает окно от Avast Free Antivirus и пишет что вредоносный сайт заблокирован.

@Sandor · 01.06.2013, 14:10

Сделайте дополнительно лог:

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

@Oxland · 01.06.2013, 14:56 **[ТС]**

Вот

@Sandor · 01.06.2013, 15:23

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

В безопасном режиме:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
 
breg
addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C3552CDB2571342B9CF2BB3EBEA6C978F5811C853FC21671DBA5FF151B3B242E6B95CAD48DC94F 64 C:\PROGRAMDATA\MOZILLA
 
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IBZHMIG.DLL
addsgn A76592C9D486E8720BD469341C37EDFA248AFCF66104E2877A4605C92D5BF438DCE83C907A7195092B80841602324542EBFEA87278EEA76C2DB0A00BF3116273 8 C:\PROGRAMDATA\MOZILLA
 
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BIZHELJ.EXE
bl 64487455DE2BEEB702989FCAC9E51844 133656
bl B2EA94E9619AB0392055DAEFA7F34E49 18944
czoo
delref %SystemDrive%\PROGRAMDATA\MOZILLA\IBZHMIG.DLL
delall %SystemDrive%\PROGRAMDATA\MOZILLA\BIZHELJ.EXE
chklst
delvir
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

В нормальном режиме повторите лог uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@Oxland · 01.06.2013, 19:52 **[ТС]**

Архив отправил

@Sandor · 01.06.2013, 20:37

Не хватает еще:

Сообщение от Sando_r

В нормальном режиме повторите лог uVS.

@Oxland · 01.06.2013, 20:51 **[ТС]**

Вот

@Sandor · 01.06.2013, 20:59

Хорошо. Основная проблема должна исчезнуть.
У вас по логам видно много нежелательного ПО в виде тулбаров:
DealPly
Funmoods
Ticno

Попробуйте через Установку/Удаление их деинсталлировать.
Сообщите результат.

Чтобы избавиться от вебальты:

AVZ - Сервис - Поиск данных в реестре.
В поле "Образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

@Oxland · 01.06.2013, 21:22 **[ТС]**

Огромное спасибо, похоже проблема решена. По крайней мере сейчас антивирус ничего не пишет и на сайты нормально заходит.

@Sandor · 01.06.2013, 21:33

На результатах поиска правой кнопкой - выберите Выделить все и нажмите Удалить.

Тулбары

Сообщение от Sando_r

через Установку/Удаление их деинсталлировать

Получилось?

@Oxland · 01.06.2013, 21:45 **[ТС]**

Да, получилось

@Sandor · 01.06.2013, 21:57

Если MBAM уже закрыли, повторите сканирование (можно только диск С) и удалите указанное (некоторых строк может не быть):

Обнаруженные ключи в реестре: 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\Software\Google\Chrome\Extensions\b bjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentV ersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\b bjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Uninstall\funmoods (PUP.FunMoods) -> Действие не было предпринято.

C:\Users\Bulat\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Program Files\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0 (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\bh (PUP.FunMoods) -> Действие не было предпринято.

C:\Users\Bulat\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpp hh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Google\Chro me\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpp hh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Roaming\Funmoods\ UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\Bulat\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\Local Settings\Application Data\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\Sqlite3.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\uninst.dat (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\uninstall.exe (PUP.FunMoods) -> Действие не было предпринято.

После удаления повторите лог MBAM.

@Katharsis · 08.06.2013, 01:15

Oxland, ответ будет?

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	01.06.2013, 14:10
	Сделайте дополнительно лог: Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS 1

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	01.06.2013, 20:59
	Хорошо. Основная проблема должна исчезнуть. У вас по логам видно много нежелательного ПО в виде тулбаров: DealPly Funmoods Ticno Попробуйте через Установку/Удаление их деинсталлировать. Сообщите результат. Чтобы избавиться от вебальты: AVZ - Сервис - Поиск данных в реестре. В поле "Образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте. 1

@Oxland 0 / 0 / 0 Регистрация: 31.05.2013 Сообщений: 6
	01.06.2013, 21:45 [ТС]
	Да, получилось 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	08.06.2013, 01:15
	Oxland, ответ будет? 0