Решена Открывает сайт clubrelaxxxx / gibdd и требует денег Вконтакте

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Lucy_Acid, 9 дек 2012.

Статус темы:
Закрыта.
  1. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Здравствуйте, где-то неделю назад Яндекс.Защитник стал выводить информацию, что файл hosts пытаются изменить. Я запрещала изменения и все было нормально. День назад мне надоело это сообщение и я запретила выводить сообщения об этом файле. После перезапуска компьютера, при открытии страници или просто со временем стал вылазить сайт из заголовка, при запуске, еще до того как можно двигать курсор, вылезает Командная строка (пустая, в заголовке написано только C:/Windows/System32/cmd.exe) и нельзя зайти Вконтакте даже с правильным паролем.
    Скорее всего это был зараженный трояном crack, его я уже удалила.

    Логи прилагаю.
     

    Вложения:

    • log.txt
      Размер файла:
      41,7 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      35,7 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      35,7 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      39,7 КБ
      Просмотров:
      1
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Lucy_Acid, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Выполните скрипт в AVZ (утилиту запускать от имени Администратора по правой кнопке мыши)
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteFile('C:\Users\LUCY_A~1\AppData\Local\Temp\1820781FdOh');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1820859');
    DeleteFileMask('C:\ProgramData\6iNtjwSz1R0', '*', true);
    DeleteDirectory('C:\ProgramData\6iNtjwSz1R0');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Очистите куки и кэш браузеров

    Обновите базы AVZ

    Сделайте новые логи
     
  4. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вот.
     

    Вложения:

    • info.txt
      Размер файла:
      35,7 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      41,1 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      25,4 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      25,4 КБ
      Просмотров:
      1
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом руководстве.

    Как самочувствие системы?
     
  6. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Да вроде реже стал сайт выскакивать, командной строки не вижу.

    Вот лог от Security
     

    Вложения:

  7. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Но полностью еще не решена проблема?

    Закрывайте уязвимости:

     
  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Но выскакивает? Куки и кэш чистили?
     
    1 человеку нравится это.
  9. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Нет, не решена. Обновления качаю, кэш уже три раза чистила, при каждой перезагрузке.
     
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    • Подготовьте лог OTL by OldTimer, как описано на этой странице.
    • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
    • Если логи не прикрепляются запакуйте их в архив.
     
  11. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Логи OTL
    Это от него выскочила Командная строка со словами DISKREPORT% ?
     

    Вложения:

    • Extras.Txt
      Размер файла:
      61,5 КБ
      Просмотров:
      2
    • OTL.Txt
      Размер файла:
      378,5 КБ
      Просмотров:
      4
  12. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Да

    Добавлено через 9 минут 51 секунду
    • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes
      :OTL
      FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
      O20:[b]64bit:[/b] - HKLM Winlogon: System - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
      O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
      O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
      MsConfig:64bit - StartUpReg: [b]uTorrent[/b] - hkey= - key= -  File not found
      MsConfig:64bit - State: "startup" - Reg Error: Key error.
      MsConfig:64bit - State: "services" - Reg Error: Key error.
      [2012.08.25 09:46:00 | 000,000,138 | ---- | C] () -- C:\windows\SysWow64\operaprefs_fixed.ini
      [2009.07.14 07:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini

      :Services

      :Files
      ipconfig /flushdns /c

      :Reg

      :Commands
      [EMPTYTEMP]
      [purity]
      [start explorer]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
     
  13. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Лог
     

    Вложения:

  14. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Что с проблемой?
     
  15. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Вроде перестало появляться. Спасибо за помощь. Можно ли как-то проверить на вирус? Надо ли ставить какой-то антивирус после всего этого?
     
  16. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
  17. Lucy_Acid
    Оффлайн

    Lucy_Acid Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Спасибо большое Вам.
     
  18. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    И вам не болеть))
     
Статус темы:
Закрыта.

Поделиться этой страницей