При запуске Firefox ругается антивирус

[JaneYa]

При открытии браузера Mozilla Firefox аваст выкидывает следующее:
Вложение 443535

[Info_bot]

Уважаемый(ая) JaneYa, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Program Files\IL-2 Sturmovik.Cliffs Of Dover.v 1.00.14101\Launcher.exe','');
 QuarantineFile('C:\Program Files\ZuppaPeople\ZuppaCraft\zuppacraft.exe','');
 QuarantineFile('C:\Games\Grand Theft Auto San Andreas + MultiPlayer [0.3e]\m0d S0beit RUS FULL\Читы для Игр.url','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[JaneYa]

Сделал.

[mike 1]

1. Ярлык C:\Games\Grand Theft Auto San Andreas + MultiPlayer [0.3e]\m0d S0beit RUS FULL\Читы для Игр.url удалите.

2. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные файлы:
C:\Users\User\Downloads\pelengator_v_2.rar.2nyefpr.partial (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Users\User\Downloads\iMeshSetup-r1157-n-bc (1).exe (PUP.Optional.iMeshMusicBoxTB.A) -> Действие не было предпринято.
C:\Users\User\Downloads\iMeshSetup-r1157-n-bc (2).exe (PUP.Optional.iMeshMusicBoxTB.A) -> Действие не было предпринято.
C:\Users\User\Downloads\iMeshSetup-r1157-n-bc.exe (PUP.Optional.iMeshMusicBoxTB.A) -> Действие не было предпринято.

Это если вам не знакомо, то удалите еще и это:

Код:

C:\Users\User\Downloads\sbornik-russkih-avto-v3-dlya-gta-san-andreas_id3278156ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\User\Downloads\sbornik-russkih-avto-v3-dlya-gta-san-andreas_id3279133ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Users\User\Downloads\ggmm-v23-dlya-gta-san-andreas_id3294941ids1s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Сделайте лог MiniToolBox при активном интернете.

[JaneYa]

Сделано

[mike 1]

Выполните быстрое сканирование в MBAM и удалите еще это:

Код:

Обнаруженные ключи в реестре:  1
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[JaneYa]

сделал.

[mike 1]

Проблема наблюдается только при открытии браузера Firefox или в других браузерах тоже наблюдается? Попробуйте ярлык для браузера пересоздать.

[JaneYa]

Только в фаерфоксе.
Пробовал переустановить (соответственно, ярлык убирался и ставился новый) - не помогло

[mike 1]

Покажите свойства ярлыка Firefox. + Временно отключите все расширения в Firefox и проверьте проблему.

[JaneYa]

Проблема решена.
Она оказалась в расширении Спутник майл.ру - я его убрал, проблема ушла.

Благодарю!!!

[mike 1]

1. Удалите MBAM через установка и удаление программ.

2.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены