Решена проблемы с vk.com, а также с баннерами

Тема в разделе "Лечение компьютерных вирусов", создана пользователем asdfghjkl, 7 авг 2013.

Статус темы:
Закрыта.
  1. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Проблема в подключению к сайту vk.com, из всех браузеров заходит только стандартный IE, причем сам сайт работает плохо, такое впечатление, что данные идут через вредоносную программу (например, при случайном нажатии в обычный текст открывается сторонний сайт). Также появляются одинаковые баннеры на разных сайтах, на которых их быть не должно. Сайт и форум касперского не открываются.

    Заранее спасибо.
     

    Вложения:

    • info.txt
      Размер файла:
      59,6 КБ
      Просмотров:
      2
    • log.txt
      Размер файла:
      42,7 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      53,6 КБ
      Просмотров:
      0
    • virusinfo_syscure.zip
      Размер файла:
      77,2 КБ
      Просмотров:
      1
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую asdfghjkl, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    обновите базы и переделайте логи.
     
  4. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Пожалуйста, уточните, как можно обновить базы. Насколько я понимаю, автообновление AVZ в Windows 7 не работает. В справке программы нет указаний, как можно добавить базы из архива (архив скачал с вашего сайте). Спасибо!
     
  5. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    распаковать в папку в avz4\base
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    всё работает.
     
  7. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Обновить автоматически не удается (ошибка загрузки файла). Пока что распаковал архив в папку base. Прикладываю новые логи.
     

    Вложения:

  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    asdfghjkl, скачайте отсюда AVZ с обновлёнными базами, распакуйте его.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\Users\Мааксим\Downloads\Adobe_Photoshop_11.0.1_CS4_Extended\Keygen.rar','');
     QuarantineFile('C:\PROGRA~3\Mozilla\vieiiwc.exe','');
     QuarantineFile('\ehome\ehPrivJob.exe','');
     QuarantineFile('C:\Users\76CE~1\AppData\Local\Temp\421157349aq','');
     QuarantineFile('C:\Users\76CE~1\AppData\Local\Temp\268809737aq','');
     DeleteFile('C:\Users\76CE~1\AppData\Local\Temp\268809737aq','32');
     DeleteFile('C:\Windows\system32\Tasks\At1','64');
     DeleteFile('C:\Users\76CE~1\AppData\Local\Temp\421157349aq','32');
     DeleteFile('C:\Windows\system32\Tasks\At2','64');
     DeleteFile('C:\PROGRA~3\Mozilla\vieiiwc.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\qktdzge','64');
    ExecuteSysClean;
    RebootWindows(false);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

    + combofix почему без разрешения запускали ? прикрепите лог его работы.

    + по окончанию лечения смените пароли.
     
  9. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Файл отправил, логи прикладываю. Comofix делал до запроса для форума касперского, но потом вирус заблокировал вход на тот форум. Логи combofix удалил, нужно ли делать новые?

    Пока что проблема остается.
     

    Вложения:

    • info.txt
      Размер файла:
      58,7 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      42,8 КБ
      Просмотров:
      2
    • virusinfo_syscheck.zip
      Размер файла:
      45,8 КБ
      Просмотров:
      3
  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    ссылку на тему дайте

    + прикрепите лог комбофикса. Если никто не опередит, то логи посмотрю завтра.
     
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    по прежнему жду ;)

    + эти папки знакомы вам ?
    Код (Text):
    C:\5b2c4a65d839f32309f764de
    C:\eabbffa71d7345091669da
    C:\5d307268009c170cf5e50a5d99e9
    + Проверьте эти файлы на virustotal
    Код (Text):
    c:\windows\system32\drivers\o2flash.exe
     
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
     
    1 человеку нравится это.
  12. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Ссылку дать не получится, т.к. вход на тот форум заблокирован (вместо него появляется страничка яндекса).

    Прикрепляю лог combofix.
     

    Вложения:

    • combofix.txt
      Размер файла:
      28,4 КБ
      Просмотров:
      2
  13. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Нет. В них лежит много файлов с названием Windows6.1.

    Проводник файла не видит, хотя отображение скрытых и системных файлов включено.
     
  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    попробуйте прислать в карантин по этой инструкции.

    Добавлено через 6 минут 18 секунд
    вот ваша проблема. К интернету подключены через роутер ?

    + сделайте ещё такой лог
    и вот такой.
     
    1 человеку нравится это.
  15. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Карнтин создать не получается: файлы обнаруживаются (в двух местах), но потом в окне с архивированием за сегодняшенее число папка остается пустой.

    Universal Virus Sniffer зависает при формировании лога (действие "проверка цифровых подписей").

    Прикрепляю лог hijackthis.

    В чем именно проблема? Да, через роутер.
     
  16. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Еще раз прикладываю лог, в предыдущем сообщении не прошел.
     

    Вложения:

    • hijackthis.log
      Размер файла:
      17,9 КБ
      Просмотров:
      1
  17. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Профиксите в HijackThis

    Код (Text):
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0E348DC9-8D04-48B4-810B-6BD2DD7AE957}: NameServer = 5.104.108.204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2486C1AE-98B3-40EF-A98C-2F7038947195}: NameServer = 5.104.108.204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1FB957-CCA1-4C00-B026-B9DEB83F03D8}: NameServer = 5.104.108.204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.204
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EB5397A4-93F1-4556-B439-F6CCB14705D3}: NameServer = 5.104.108.204
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0E348DC9-8D04-48B4-810B-6BD2DD7AE957}: NameServer = 5.104.108.204
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0E348DC9-8D04-48B4-810B-6BD2DD7AE957}: NameServer = 5.104.108.204
    если пропадёт интернет соединение, то пропишите настройки DNS рекомендованные провайдером.

    - Очистите кеш и куки браузеров

    сделайте новый лог hijackthis

    и ещё раз попытайтесь сделать лог uVS (проверку подписей он немного долго делает, может просто надо подождать).

    что с проблемой ?

    Добавлено через 57 секунд
    у вас прописаны троянские DNS
     
    1 человеку нравится это.
  18. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Большое спасибо!

    Проблема ушла, хотя вконтакте грузится по-прежнему очень долго и не весь работает (может, и в самом сайте проблема). Прикрепляю лог hijackthis. Лог UVS сделать нормально не получается - виснет на "цифровых подписях". Через два дня (!) работы выдал в лог нечто странное с непонятной кодировкой. Прикрепить не получается, т.к. размер "лога" 13 мб. Может, пойдет вариант без цифровых подписей? Также в самой программе внизу есть список операций, в т.ч. указания на поврежденные файлы и невозможность открыть файл хостс. Пока что не понял, как можно этот список экспортировать, разве только скриншотом. В приложении на всякий случай список подозрительного из uVS, но это, как я понимаю, не то.
     

    Вложения:

    • hijackthis.log
      Размер файла:
      17,7 КБ
      Просмотров:
      3
    • uVC.txt
      Размер файла:
      6,3 КБ
      Просмотров:
      2
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    заархивируйте это в архив и прикрепите - это скорее всего и есть лог. Если во вложения всё равно не поместится, то загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.

    Выполните такой скрипт в AVZ

    Код (Text):
    begin
     ExecuteWizard('SCU', 2, 2, true);
     RebootWindows(false);
    end.
    он очистит кукисы и кеш браузеров и после этого перезагрузит компьютер, после этого ещё раз проверьте работу в контакте.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

    [​IMG]

    Скачайте OTCleanIt, запустите, нажмите Clean up
     
    1 человеку нравится это.
  20. asdfghjkl
    Оффлайн

    asdfghjkl Новый пользователь

    Сообщения:
    13
    Симпатии:
    0
    Спасибо, пока что все работает.

    Отправляю то, что похоже на лог uVS.

    При попытке деинсталировать ComboFix появляется ошибка "Не удается найти Combofix".
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей