URL: Mal

@Oxland · Регистрация: 31.05.2013

Студворк — интернет-сервис помощи студентам

При заходе на некоторые сайты выскакивает окно от Avast Free Antivirus и пишет что вредоносный сайт заблокирован.

@Sandor · 01.06.2013, 14:10

Сделайте дополнительно лог:

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

@Oxland · 01.06.2013, 14:56 **[ТС]**

Вот

@Sandor · 01.06.2013, 15:23

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

В безопасном режиме:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
 
breg
addsgn A7659219B962CF0F07D5DBB48C86EDFADA4344F789FA1FBA89C3552CDB2571342B9CF2BB3EBEA6C978F5811C853FC21671DBA5FF151B3B242E6B95CAD48DC94F 64 C:\PROGRAMDATA\MOZILLA
 
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IBZHMIG.DLL
addsgn A76592C9D486E8720BD469341C37EDFA248AFCF66104E2877A4605C92D5BF438DCE83C907A7195092B80841602324542EBFEA87278EEA76C2DB0A00BF3116273 8 C:\PROGRAMDATA\MOZILLA
 
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\BIZHELJ.EXE
bl 64487455DE2BEEB702989FCAC9E51844 133656
bl B2EA94E9619AB0392055DAEFA7F34E49 18944
czoo
delref %SystemDrive%\PROGRAMDATA\MOZILLA\IBZHMIG.DLL
delall %SystemDrive%\PROGRAMDATA\MOZILLA\BIZHELJ.EXE
chklst
delvir
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

В нормальном режиме повторите лог uVS.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@Oxland · 01.06.2013, 19:52 **[ТС]**

Архив отправил

@Sandor · 01.06.2013, 20:37

Не хватает еще:

Сообщение от Sando_r

В нормальном режиме повторите лог uVS.

@Oxland · 01.06.2013, 20:51 **[ТС]**

Вот

@Sandor · 01.06.2013, 20:59

Хорошо. Основная проблема должна исчезнуть.
У вас по логам видно много нежелательного ПО в виде тулбаров:
DealPly
Funmoods
Ticno

Попробуйте через Установку/Удаление их деинсталлировать.
Сообщите результат.

Чтобы избавиться от вебальты:

AVZ - Сервис - Поиск данных в реестре.
В поле "Образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
Поиск не закрывайте.

@Oxland · 01.06.2013, 21:22 **[ТС]**

Огромное спасибо, похоже проблема решена. По крайней мере сейчас антивирус ничего не пишет и на сайты нормально заходит.

@Sandor · 01.06.2013, 21:33

На результатах поиска правой кнопкой - выберите Выделить все и нажмите Удалить.

Тулбары

Сообщение от Sando_r

через Установку/Удаление их деинсталлировать

Получилось?

@Oxland · 01.06.2013, 21:45 **[ТС]**

Да, получилось

@Sandor · 01.06.2013, 21:57

Если MBAM уже закрыли, повторите сканирование (можно только диск С) и удалите указанное (некоторых строк может не быть):

Обнаруженные ключи в реестре: 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\Software\Google\Chrome\Extensions\b bjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentV ersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Google\Chrome\Extensions\b bjciahceamgodcoidkjpchnokgfpphh (PUP.Funmoods) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentV ersion\Uninstall\funmoods (PUP.FunMoods) -> Действие не было предпринято.

C:\Users\Bulat\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Program Files\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0 (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\bh (PUP.FunMoods) -> Действие не было предпринято.

C:\Users\Bulat\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpp hh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Google\Chro me\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpp hh_0.localstorage (PUP.Funmoods) -> Действие не было предпринято.
C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Roaming\Funmoods\ UpdateProc\UpdateTask.exe (PUP.FunMoods) -> Действие не было предпринято.
C:\Users\Bulat\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\Local Settings\Application Data\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Bulat\AppData\Local\Webalta Toolbar\webalta_nw_final_chrome.crx (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\Sqlite3.dll (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\uninst.dat (PUP.FunMoods) -> Действие не было предпринято.
C:\Program Files\Funmoods\1.8.11.0\uninstall.exe (PUP.FunMoods) -> Действие не было предпринято.

После удаления повторите лог MBAM.

@Katharsis · 08.06.2013, 01:15

Oxland, ответ будет?

Новые блоги и статьи Все статьи Все блоги /
Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .	PowerShell и онлайн сервисы. Валюта (floatrates.com руб.) iNNOKENTIY21 11.11.2025 PowerShell функция floatrates-rub Примеры вызова: # Указанная валюта 'EUR' floatrates-rub -Code 'EUR' # Список имеющихся кодов валют floatrates-rub -Available function floatrates-rub {	PowerShell и онлайн сервисы. Погода (RP5.ru) iNNOKENTIY21 11.11.2025 PowerShell функция Get-WeatherRP5rss для получения погоды с сервиса RP5 Примеры вызова Get-WeatherRP5rss с указанием id 5484 — Москва (восток, Измайлово) и переносом строки:. . .
PowerShell и онлайн сервисы. Погода (wttr) iNNOKENTIY21 11.11.2025 PowerShell Функция для получения погоды с сервиса wttr Примеры вызова: Погода в городе Омск с прогнозом на день, можно изменить прогноз на более дней, для этого надо поменять запрос:. . .	PowerShell и онлайн сервисы. Валюта (ЦБР) iNNOKENTIY21 11.11.2025 # Получение курса валют function cbr (] $Valutes = @('USD', 'EUR', 'CNY')) { $url = 'https:/ / www. cbr-xml-daily. ru/ daily_json. js' $data = Invoke-RestMethod -Uri $url $esc = 27 . . .	И решил я переделать этот ноут в машину для распределенных вычислений Programma_Boinc 09.11.2025 И решил я переделать этот ноут в машину для распределенных вычислений Всем привет. А вот мой компьютер, переделанный из ноутбука. Был у меня ноут асус 2011 года. Со временем корпус превратился. . .	Мысли в слух kumehtar 07.11.2025 Заметил среди людей, что по-настоящему верная дружба бывает между теми, с кем нечего делить.	Новая зверюга volvo 07.11.2025 Подарок на Хеллоуин, и теперь у нас кроме Tuxedo Cat есть еще и щенок далматинца: Хочу еще Симбу взять, очень нравится. . .

@Sandor 22419 / 15881 / 3071 Регистрация: 08.10.2012 Сообщений: 64,672
	01.06.2013, 14:10
	Сделайте дополнительно лог: Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS 1

@Sandor 22419 / 15881 / 3071 Регистрация: 08.10.2012 Сообщений: 64,672
	01.06.2013, 20:59
	Хорошо. Основная проблема должна исчезнуть. У вас по логам видно много нежелательного ПО в виде тулбаров: DealPly Funmoods Ticno Попробуйте через Установку/Удаление их деинсталлировать. Сообщите результат. Чтобы избавиться от вебальты: AVZ - Сервис - Поиск данных в реестре. В поле "Образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Поиск не закрывайте. 1

@Oxland 0 / 0 / 0 Регистрация: 31.05.2013 Сообщений: 6
	01.06.2013, 21:45 [ТС]
	Да, получилось 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	08.06.2013, 01:15
	Oxland, ответ будет? 0

Опции темы