Решена Не могу зайти в одноклассники и мой мир

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Дарья, 14 янв 2013.

Статус темы:
Закрыта.
  1. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    ДД. Помогите решить проблему. При попытке зайти в соц сети (мой мир и одноклассники) просит подтвердить номер телефона и отправить смс на короткий номер.
    Я просканировала систему с помощью программки Malwarebytes Anti-Malware (нашла на этом сайте). Выкладываю лог. Какие действия мне предпринять дальше?
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Дарья, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Sfera
    Оффлайн

    Sfera Куратор обучения Ассоциация VN/VIP VIP

    Сообщения:
    6.327
    Симпатии:
    5.128
    Дарья, логи бы увидеть
    virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме
     
  4. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Я же вложила файл с программы MBAM. Кидаю еще раз.
    Сейчас делаю проверку с помощью AVZ.
    Как закончит выложу и тот.
     

    Вложения:

  5. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Вот архив с помощью программы AVZ.
     

    Вложения:

  6. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    А еще сегодня появилась непонятная поисковая система Webalta. Помогите избавиться и от нее, пожалуйста.

    Добавлено через 8 минут 50 секунд
    Я, видимо, совсем не умею читать все до конца!)
    Сейчас в спокойной обстановке все прочла (ребенок пока спит), делаю все согласно инструкции и вложу файлы кучей.
     
    1 человеку нравится это.
  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Прочтите внимательно правила и выложите еще 3 файла virusinfo_syscheck.zip, log.txt, info.txt
     
    1 человеку нравится это.
  8. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Вроде все сделала как написано в инструкции.
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      37,7 КБ
      Просмотров:
      0
    • virusinfo_syscheck.zip
      Размер файла:
      38,1 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      36,1 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      71,3 КБ
      Просмотров:
      1
  9. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ExecuteFile('C:\Users\Администратор\AppData\Local\Webalta Toolbar\uninstall.exe', '', 0, 35000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFileF('C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\', '*.exe', true, '', 0, 0);
     QuarantineFileF('C:\Users\Администратор\AppData\Local\Webalta Toolbar\', '*.exe', true, '', 0, 0);
     DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk');
     DeleteFileMask('C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\', '*.*', true);
     DeleteDirectory('C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\');
     DeleteFileMask('C:\Users\Администратор\AppData\Local\Webalta Toolbar\', '*.*', true);
     DeleteDirectory('C:\Users\Администратор\AppData\Local\Webalta Toolbar\');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
     DelCLSID('FE704BF8-384B-44E1-8CF2-8DBEB3637A8A');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{AD0A7AC4-E0ED-41BD-A230-28007AA64498}: NameServer = 217.23.3.185
    Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


    Повторите сканирование в MBAM и удалите только следующие строки:

    Код (Text):
    HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
     
    1 человеку нравится это.
  10. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Из всех была только последняя строчка О17, её профиксила
    RSIT в этот раз почему-то текстовый файл info не создал.
     

    Вложения:

  11. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Карантин отправили? Если да то продублируйте на почту

    В MBAM что-нибудь нашлось?

    Как самочувствие системы?

    Проверимся на уязвимости:

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом руководстве.
     
  12. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Вот что удалось сделать с помощью MBAM:


    Код (Text):
    Malwarebytes Anti-Malware 1.70.0.1100
    [url]www.malwarebytes.org[/url]

    Версия базы данных:  v2013.01.13.09

    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Администратор :: BEST-8CDS6U8II4 [администратор]

    14.01.2013 18:02:11
    mbam-log-2013-01-14 (18-02-11).txt

    Тип сканирования:  Полное сканирование  (C:\|D:\|)
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты:  355662
    Времени прошло:  35 минут , 19 секунд

    Обнаруженные процессы в памяти:  1
    C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1996 -> Действие не было предпринято.

    Обнаруженные модули в памяти:  0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре:  4
    HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.
    HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.

    Обнаруженные параметры в реестре:  1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

    Объекты реестра обнаружены:  1
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

    Обнаруженные папки:  0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы:  5
    C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
    C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Действие не было предпринято.
    C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
    D:\Soft\WPI x86-x64 by OVGorskiy 12.12\Активаторы\Windows Loader v2.1.9.exe (Trojan.Dropper) -> Действие не было предпринято.
    D:\Разное\Иконки\Формат.png\Snow.exe (Trojan.Downloader) -> Действие не было предпринято.

    (конец)
     
    Последнее редактирование модератором: 14 янв 2013
  13. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Хорошо, оставшиеся - это неопасные объекты.

    Продолжайте далее по моему предыдущему посту.
     
  14. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Отправила, на почту продублировала.

    Добавлено через 3 минуты 14 секунд
    Код (Text):
    Security Check by glax24 version 0.1.6.52 rc1
    WebSite: [url]www.safezone.cc[/url]
    DataLog 14.01.2013 18:57:50
    Program directory: C:\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=2.1
    Диск C:\ ФС: NTFS Емкость: (160.2 Гб) Занято: (33.7 Гб) Свободно: (126.5 Гб)
    __________________________________________________

    WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419)
    Дата установки ОС: 09.01.2013 17:07:47
    Service Pack 1
    Internet Explorer 9.0.8112.16421
    -------------Windows------------------------------
    [color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
    [color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-01-14 04:52:07
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    Microsoft Security Essentials
    Сканирование [b]отключено[/b]
    -------------Firewall_WMI-------------------------
    -------------AntiSpyware_WMI----------------------
    Microsoft Security Essentials
    Windows Defender
    -------------AntiVirusFirewallInstall-------------
    Microsoft Security Essentials v.4.1.522.0
    -------------OtherUtilities-----------------------
    Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
    -------------Java---------------------------------
    Java 7 Update 9 v.7.0.90 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
    [color=blue][b]^Скачайте jre-7u10-windows-i586.exe^[/b][/color]
    -------------AppleProduction----------------------
    QuickTime v.7.71.80.42 [color=red][b]Внимание! [url=http://www.apple.com/ru/quicktime/]Скачать обновления[/url][/b][/color]
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX v.11.5.502.135 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe]Скачать обновления[/url][/b][/color]
    Adobe Flash Player 11 Plugin v.11.5.502.135 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe]Скачать обновления[/url][/b][/color]
    Adobe Reader XI - Russian v.11.0.00
    -------------Browser------------------------------
    Google Chrome v.24.0.1312.52
    -------------RunningProcess-----------------------
    C:\Program Files\Google\Chrome\Application\chrome.exe v.24.0.1312.52
    -------------EndLog-------------------------------
    Добавлено через 4 минуты 8 секунд
    Спасибо огромное за помощь! Проблема исчезла. Только Webalta осталась, так и не ушла(
     
    Последнее редактирование модератором: 14 янв 2013
  15. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закрывайте уязвимости:

    Единственные поправки:

    Сегодня утром вышла новая Java - так что по указанной ссылке качайте файл jre-7u11-windows-i586.exe предварительно поставьте на той странице флаг Accept License Agreement

    +

    Для Adobe Reader скачайте и установите данный патч:

    ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.01/misc/AdbeRdrUpd11001.msp

    Добавлено через 46 секунд
    В каком именно браузере?
     
    1 человеку нравится это.
  16. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    В гугл хром
     
  17. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
  18. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    То, что вы присылали по webalta не помогло.
    Искала через поиск и визуально. Без результатов.
    Удалила и заново поставила хром вроде исчезло.
    Большое спасибо за помощь!

    Добавлено через 1 минуту 1 секунду
    Это все сделала!
     
  19. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
  20. Дарья
    Оффлайн

    Дарья Новый пользователь

    Сообщения:
    11
    Симпатии:
    1
    Все сделала. Еще раз огромное спасибо!
     
Статус темы:
Закрыта.

Поделиться этой страницей