Решена Контакт заблокирован

Тема в разделе "Лечение компьютерных вирусов", создана пользователем hoper, 5 май 2013.

Статус темы:
Закрыта.
  1. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Здравствуйте, уважаемые хелперы!
    Вчера решил зайти в контакт, ввел емэйл и пароль от контакта, как всегда,
    но на этот раз после нажатия на "Войти", загрузилась страница c следующим содержанием:"Пожалуйста, привяжите Вашу страницу к номеру сотового телефона, чтобы защитить ее от злоумышленников.

    Мы также просим Вас выбрать новый пароль для Вашей страницы ВКонтакте. Для обеспечения максимальной безопасности мы рекомендуем менять пароль не реже двух раз в год." Я ввел свой номер, и вышел следующий текст:
    "На ваш телефон в течение нескольких секунд придет сообщение.
    В ответном SMS отправьте код: 30007
    После отправки кода нажмите Подтвердить"
    Тут насторожило меня три момента: 1) я раньше уже привязывал страницу к мобильному телефону, 2) почему надо мне отправлять ответный СМС?
    3) с моего компьютера тоже нельзя зайти ни в один аккаунт ВК друзей.
    Отсюда вывод: в компьютере вирус. Винду я ставил 30 апреля этого года. Вероятно, зараза попала вместе с ASK Toolbar при установке KMPlayer, я раньше всегда отменял установку этого тулбара, но в этот раз почему-то он установился.
    Логи выкладываю. Касперский (штатный антивирус со свежими обновлениями) ничего не нашел, но сегодня он удалил файл
    с рандомным названием, состоящим только из цифр.
     

    Вложения:

    • info.txt
      Размер файла:
      13,5 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      153,8 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      43 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую hoper, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    ах да, забыл кое-что спросить!
    Я проверил файл hosts, но блокнот показал, что там чисто, вот его содержание:
    # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
    # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
    # Этот файл содержит сопоставления IP-адресов именам узлов.
    # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
    # находиться в первом столбце, за ним должно следовать соответствующее имя.
    # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
    # Кроме того, в некоторых строках могут быть вставлены комментарии
    # (такие, как эта строка), они должны следовать за именем узла и отделяться
    # от него символом #.
    # Например:
    # 102.54.94.97 rhino.acme.com # исходный сервер
    # 38.25.63.10 x.acme.com # узел клиента x
    127.0.0.1 localhost

    однако в логах рсит имеются вредоносные записи в секции Hosts
    как вирус скрывает эти записи? Касперский не обнаружил наличие руткитов на компе
     
  4. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Лог virusinfo_syscheck.zip
     

    Вложения:

  5. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('F:\WINDOWS\tasks\At1.job','');
     QuarantineFile('F:\WINDOWS\tasks\At2.job','');
     DeleteFile('F:\WINDOWS\tasks\At1.job');
     DeleteFile('F:\WINDOWS\tasks\At2.job');
     ExecuteRepair(13);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Повторите логи AVZ и RSIT.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
     
  6. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Скрипт я выполню завтра
    F:\WINDOWS\tasks\At1.job - это файл, содержащий задания для Планировщика Задач Windows XP? Зачем удалять этот файл?
     
  7. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Процитируйте его содержимое. А также At2.job
     
  8. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Если сами задачу не устанавливали, то в 99% там задача на подмену файла hosts, чтоб в этом убедиться
     
    1 человеку нравится это.
  9. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Да, вы правы, после лечения компьютера отключу службу Планировщика Задач

    Добавлено через 4 минуты 35 секунд
    процитировать содержимое не смог, блокнот пишет, что At1.job - бинарный файл, после его открытия появляются кракозябры
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.048
    Симпатии:
    4.485
    вот их и вставьте, а с кодировкой мы разберемся или прикрепите сюда файлы At1.job и At2.job
     
    Последнее редактирование: 6 май 2013
    1 человеку нравится это.
  11. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    К сожалению, скрипт я выполнил и файлы удалились, они должны быть в карантине, который я отправил.
    Сейчас делаю логи МВАМ
     
  12. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.048
    Симпатии:
    4.485
    Нашел...
    Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\1894343aq');
     DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\1413921aq');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    1 человеку нравится это.
  13. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    лог МВАМ
     

    Вложения:

  14. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    В MBAM ничего удалять не нужно.

    Файлы из папки:
    если знакомы - оставляйте. Если нет, советую удалить.

    Что с проблемой?
     
  15. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Эта папка старая, давно туда файлы закачивали, думаю, там нет ничего плохого.
    Сейчас Вконтакт заходит. Спасибо.
    Но второй скрипт я еще не выполнял.
     
  16. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Выполните. После перезагрузки:

    Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

    Рекомендации после удаления вредоносного ПО
     
  17. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Я сделал новые логи на всякий случай
     

    Вложения:

    • info.txt
      Размер файла:
      13 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      154 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      45,4 КБ
      Просмотров:
      1
  18. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Содержимое лога SecurityCheck by glax24:
    "Security Check by glax24 version 0.1.6.54 rc1
    WebSite: www.safezone.cc
    DataLog 06.05.2013 19:44:35
    Program directory: F:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
    Log directory: F:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=4.0
    Диск F:\ ФС: NTFS Емкость: (15.9 Гб) Занято: (10.8 Гб) Свободно: (5.1 Гб)
    __________________________________________________

    WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
    Дата установки ОС: 30.04.2013 17:51:42
    Service Pack 3
    Internet Explorer 8.0.6001.18702
    -------------Windows------------------------------
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-05-05 08:55:01
    Автоматическое обновление (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба остановлена
    Восстановление системы отключено
    -------------Antivirus_WMI------------------------
    -------------Firewall_WMI-------------------------
    -------------AntiVirusFirewallInstall-------------
    Kaspersky Internet Security 2013 v.13.0.1.4190
    -------------OtherUtilities-----------------------
    CCleaner (remove only)
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------Java---------------------------------
    Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления
    ^Скачайте jre-7u21-windows-i586.exe^
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
    Adobe Reader XI (11.0.02) v.11.0.02
    -------------Browser------------------------------
    Opera 12.15 v.12.15.1748
    -------------RunningProcess-----------------------
    F:\Program Files\Opera\opera.exe v.12.15.1748.0
    -------------EndLog-------------------------------"

    Добавлено через 47 секунд
    Вобщем надо обновить Java и Flash Player

    Добавлено через 5 минут 24 секунды
    Сделал
     
  19. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Порядок.
    Обновляйтесь и не болейте!
     
  20. hoper
    Оффлайн

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Спасибо!
     
Статус темы:
Закрыта.

Поделиться этой страницей