Решена Вконтакте Вы пытаетесь зайти из необычного места

Тема в разделе "Лечение компьютерных вирусов", создана пользователем navoff, 12 ноя 2012.

Статус темы:
Закрыта.
  1. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Добрый день!
    При попытке зайти вконтакт вышеобозначенное сообщение.
    Подскажите пожалуйста, что необходимо сделать?
    Спасибо.
    С уважением,
    Владимир.
     

    Вложения:

  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую navoff, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.019
    Симпатии:
    4.474
    1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true,true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Temp\5400817FdOh','');
     QuarantineFile('C:\Users\navoff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mPK6BZA5ACU.exe','');
     QuarantineFileF('C:\ProgramData\h5Xudl2Mauo','*.*',false,'',0,0);
     DeleteFile('C:\Users\navoff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mPK6BZA5ACU.exe');
     DeleteFile('C:\Temp\5400817FdOh');
     DeleteFile('C:\Windows\tasks\At1.job');
     DeleteFileMask('C:\ProgramData\h5Xudl2Mauo','*.*',true);
     DeleteDirectory('C:\ProgramData\h5Xudl2Mauo');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5400973');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
     ExecuteRepair(1);
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    2. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

    4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
    Код (Text):
    O1 - Hosts: 46.251.249.135 my.mail.ru www.vk.com m.vk.com vk.com
    O1 - Hosts: 46.251.249.133 www.odnoklassniki.ru odnoklassniki.ru wap.odnoklassniki.ru m.odnoklassniki.ru
    O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru www.google-analytics.com mc.yandex.ru admulti.com
    O4 - HKLM\..\Run: [5400973] cmd.exe /c copy C:\Temp\5400817FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    O4 - Startup: mPK6BZA5ACU.exe
    O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics Installer Class) - file:///C:/Temp/o3d6F96.tmp.cab
    O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} (ParallelGraphics PlanEditor Control) - file:///C:/Temp/o3d66BE.tmp.cab
    5. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
    Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
    Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

    6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    7. Обновите:
    Adobe Reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

    8. Сделайте лог SecurityCheck by screen317

    9. Внимание !!! База AVZ поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
    И сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

    10. Смените все свои пароли на сервисах в интернете.
     
    1 человеку нравится это.
  4. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Спасибо большое за помощь

    Выкладываю логи.
     

    Вложения:

  5. Tiare
    Оффлайн

    Tiare Ассоциация VN

    Сообщения:
    648
    Симпатии:
    748
    navoff, где остальные логи?
     
  6. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Результаты сканирования

    AVZ он тоже к вирусам записал.
    Поскольку на ваш почтовый ящик не могу отправить пиьсмо( выдается ошибка: Статус доставки:

    Reporting-MTA: dns; forward2.mail.yandex.net
    X-Yandex-Queue-ID: 2BBD312A050E
    X-Yandex-Sender: rfc822; navoffATya.ru
    Arrival-Date: Mon, 12 Nov 2012 22:50:17 +0400 (MSK)

    Final-Recipient: rfc822; quarantine@safezone.cc
    Original-Recipient: rfc822;quarantine@safezone.cc
    Action: failed
    Status: 5.7.0
    Remote-MTA: dns; ASPMX.L.GOOGLE.COM
    Diagnostic-Code: smtp; 552-5.7.0 Our system detected an illegal attachment on
    your message. Please 552-5.7.0 visit
    http://support.google.com/mail/bin/answer.py?answer=6590 to 552 5.7.0
    review our attachment guidelines. il9si5343131lab.26
    прилагаю файлы в этом посте.
     

    Вложения:

  7. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Пардон ошибочка.

    Не тот прицепил. Исправлюяюсь.
     
    Последнее редактирование модератором: 27 ноя 2012
  8. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    И последний лог.

    По предпоследнему пункту.
    За допущенные грамматические ошбики прошу прощения.
     

    Вложения:

    • checkup.txt
      Размер файла:
      1,1 КБ
      Просмотров:
      2
  9. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    И последнее.

    Результаты очередного сканирования.
     

    Вложения:

    • info.txt
      Размер файла:
      31,9 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      31,8 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      22,7 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      22,2 КБ
      Просмотров:
      1
  10. navoff
    Оффлайн

    navoff Новый пользователь

    Сообщения:
    7
    Симпатии:
    0
    Подскажите пожалуйста.

    Это уже больше для будующего. Правильно ли я понял, что эта "программа" записывала в .../etc/hosts некую шляпу: cmd.exe /c copy C:\Temp\5400817FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
    с аттрибутом /f?
    Так вот, что же это за аттрибут? Или это для отвода глаз?
    Сейчас все работает.
    Спасибо.
     
  11. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.019
    Симпатии:
    4.474
    Это хорошо, но необходимо удалить остатки вирусной активности:
    1. Если МВАМ уже закрыли, тогда просканируйте заново и удалите только эти строки:
    2. В целях безопасности UAC отключать не рекомендуется.

    3. Обновите Adobe Reader до актуальной версии.

    /Y - подавление запроса подтверждения на перезапись существующего конечного файла, в нашем случае на перезапись hosts.
    +H - скрытый
    /f - функция, позволяющая не вводить полностью вручную в окне консоли пути к файлам или имена самих папок, а ввести только часть длинного пути и с помощью нажатия специальной комбинации клавиш дать операционной системе найти подходящие варианты и просто выбрать нужный.
    Наберите поочередно в командной строке и почитайте
    Если проблем больше нет, тогда
    Рекомендации после лечения
     
    1 человеку нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей