url:mal

@Siniy · Регистрация: 07.06.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте. Появилась проблема: аваст выдает сообщения о заражении url:mal, процесс: С:/windows/windows32/wscript.exe. И на флэшке вместо файлов- ярлыки. Сами файлы увидел только через Тотал Командер.Флэшку пробывал форматировать-все равно что-то остается(Autorun и скрытая папка d9d9d- в ней два файла с расширением js).

@Katharsis · 07.06.2013, 08:37

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШЕЙ СИСТЕМЕ! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ _______________

1. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('F:\d9d9d', '*', true, '', 0, 0); 
 QuarantineFileF('C:\Program Files (x86)\c65', '*', true, '', 0, 0); 
 QuarantineFileF('C:\Users\ASUS\AppData\Roaming\d95', '*', true, '', 0, 0); 
 QuarantineFileF('C:\Program Files\c65', '*', true, '', 0, 0); 
 QuarantineFileF('C:\d8611', '*', true, '', 0, 0); 
 QuarantineFile('F:\d9d9d\gc8.js','');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\d95\cf4dc.js','');
 QuarantineFile('C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9a9.js','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\9a9.js','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\9a9.js');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9a9.js');
 DeleteFile('C:\Users\ASUS\AppData\Roaming\d95\cf4dc.js');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cf4dc');
 RegKeyIntParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\d9d9d\gc8.js');
 DeleteFileMask('C:\Program Files (x86)\c65', '*', true);
 DeleteFileMask('C:\Users\ASUS\AppData\Roaming\d95', '*', true);
 DeleteFileMask('C:\Program Files\c65', '*', true);
 DeleteFileMask('C:\d8611', '*', true);
 DeleteFileMask('F:\d9d9d', '*', true);
 DeleteDirectory('F:\d9d9d');
 DeleteDirectory('C:\Program Files (x86)\c65');
 DeleteDirectory('C:\Users\ASUS\AppData\Roaming\d95');
 DeleteDirectory('C:\Program Files\c65');
 DeleteDirectory('C:\d8611');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

2. Сделайте новые логи AVZ и RSIT

3. с подклченной флешкой
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@Siniy · 07.06.2013, 09:59 **[ТС]**

quarantine.zip отправил.
логи новые

@Katharsis · 07.06.2013, 16:29

в командной строке от админа: attrib -s -h -a -r J:\* /s /d

потом перенесите с флешки все нужное на жесткий диск, а флешку отформатируйте

отпишитесь о результате

@Siniy · 07.06.2013, 16:49 **[ТС]**

на флешке через тотал ниче не видно после форматирования( стоит галочка- показываты скрытые и т.п.). То бишь удалил. А с остальной гадостью что делать, которую МВАМ нашла?

@Katharsis · 07.06.2013, 16:51

это не гадость, а кейгены ваши. если не нужны - можете удалить

проблема решена?

@Siniy · 07.06.2013, 16:52 **[ТС]**

Через МВАМ и удалять ?

@Katharsis · 07.06.2013, 16:53

как угодно

@Siniy · 07.06.2013, 18:38 **[ТС]**

Проверил заново через MBAM и AVAST- ничего не обнаружено. Спасибо.

@Katharsis · 07.06.2013, 18:39

Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@Siniy · 07.06.2013, 18:56 **[ТС]**

Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 07.06.2013 17:53:13
Program directory: C:\Users\ASUS\AppData\Local\Temp\Securit yCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.3
Диск C:\ ФС: NTFS Емкость: (78 Гб) Занято: (28.1 Гб) Свободно: (49.9 Гб)
________________________________________ __________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 15.01.2011 16:28:15
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Настройка параметров восстановления системы отключена
Панель управления отключена
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.6.0.1000.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Browser------------------------------
Google Chrome v.27.0.1453.110 [+]
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Users\ASUS\AppData\Local\Google\Chrom e\Application\chrome.exe v.27.0.1453.110
C:\Program Files (x86)\Internet Explorer\iexplore.exe v.8.0.7601.17514
-------------EndLog-------------------------------

Новые блоги и статьи Все статьи Все блоги /
Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизита табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать контроль заполнения реквизита "ПричинаСписания". . .
wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Программное заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	07.06.2013, 16:29
	в командной строке от админа: attrib -s -h -a -r J:\ /s /d* потом перенесите с флешки все нужное на жесткий диск, а флешку отформатируйте отпишитесь о результате 1

@Siniy 0 / 0 / 0 Регистрация: 07.06.2013 Сообщений: 6
	07.06.2013, 16:49 [ТС]
	на флешке через тотал ниче не видно после форматирования( стоит галочка- показываты скрытые и т.п.). То бишь удалил. А с остальной гадостью что делать, которую МВАМ нашла? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	07.06.2013, 16:51
	это не гадость, а кейгены ваши. если не нужны - можете удалить проблема решена? 0

@Siniy 0 / 0 / 0 Регистрация: 07.06.2013 Сообщений: 6
	07.06.2013, 16:52 [ТС]
	Через МВАМ и удалять ? 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	07.06.2013, 16:53
	как угодно 1

@Siniy 0 / 0 / 0 Регистрация: 07.06.2013 Сообщений: 6
	07.06.2013, 18:38 [ТС]
	Проверил заново через MBAM и AVAST- ничего не обнаружено. Спасибо. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	07.06.2013, 18:39
	Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 1

@Siniy 0 / 0 / 0 Регистрация: 07.06.2013 Сообщений: 6
	07.06.2013, 18:56 [ТС]
	Security Check by glax24 version 0.1.6.55 rc2 WebSite: www.safezone.cc DataLog 07.06.2013 17:53:13 Program directory: C:\Users\ASUS\AppData\Local\Temp\Securit yCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=4.3 Диск C:\ ФС: NTFS Емкость: (78 Гб) Занято: (28.1 Гб) Свободно: (49.9 Гб) ________________________________________ __________ WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 15.01.2011 16:28:15 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления -------------Windows------------------------------ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Автоматическое обновление отключено Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба остановлена Настройка параметров восстановления системы отключена Панель управления отключена -------------Antivirus_WMI------------------------ avast! Antivirus Антивирус обновлен Сканирование отключено -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- avast! Antivirus Windows Defender -------------AntiVirusFirewallInstall------------- avast! Free Antivirus v.6.0.1000.0 -------------OtherUtilities----------------------- Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Browser------------------------------ Google Chrome v.27.0.1453.110 [+] Opera 12.14 v.12.14.1738 Внимание! Скачать обновления -------------RunningProcess----------------------- C:\Users\ASUS\AppData\Local\Google\Chrom e\Application\chrome.exe v.27.0.1453.110 C:\Program Files (x86)\Internet Explorer\iexplore.exe v.8.0.7601.17514 -------------EndLog------------------------------- 0