Решена Взломали через vkontakte.ru Смешно и грустно, ей богу..

Тема в разделе "Лечение компьютерных вирусов", создана пользователем _Vladimir, 25 ноя 2010.

Статус темы:
Закрыта.
  1. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Как я мог попасться на такую левую разводку - не спрашивайте - это было впервый и последний, надеюсь, раз!

    Итак, история болезни.
    все было до безумия банально:
    зашел на посторонний сайт, скачал exe файл 26.6 Kb и запустил.
    Зачем я это сделал - до сих пор не пойму. Зато приобрел опыт.

    После того как я запустил этот файл, я совершенно не мог войти на любой(!) поисковик. Все поисковики отправляли меня на vkontakte.ru - где я дожен был выслать 20 гривен для того чтобы они обработали заявку.
    Я так и сделал - после чего они выслали мне еще одно письмо - что мне совершенно не понравилось.
    Покапавшись в инете - я пришел к тому что меня просто лоханули. Я изменил hosts файл - и все заработало.
    Что меня беспокоит?
    Беспокоит то что возможно на моем компе помимо изменения hosts файла - изменилось что-либо еще, то что будет воровать информацию.
    Например на все сайты, на которых всегда была автомотическая аутентификация - исчезла после запуска этого exe файла. Я подозреваю (почти уверен!) что они своровали все мои пороли.
    Я решил проверить комп программами(по отдельности конечно же): Kaspersty Remover Tools 2010 и Nod 32 - они ничего не нашли.
    Посоветовали ComboFix - поставил - просканировал.. Имею сейчас log.txt
    Ребят - надеюсь только на вас.

    P.S. пароли свои я уже все меняю.
     

    Вложения:

    • log.txt
      Размер файла:
      24,1 КБ
      Просмотров:
      13
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
    Код (Text):

    RegLock::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
     
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
    [​IMG]
    Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
     
  3. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Все сделал ровно так как и было сказано.
    Вот что получил:
     

    Вложения:

    • log.txt
      Размер файла:
      22,3 КБ
      Просмотров:
      5
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"
    [​IMG]

    Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  5. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Добрый вечер друзья!
    Прошу прощенья что я пропал на недельку и не предупредил - срочная коммандировка.
    Проверил свой компьютер, и нашел один инфицированный обьект, что стало для меня большой неожиданностью.
    Вот лог.:
     

    Вложения:

  6. zirreX
    Оффлайн

    zirreX Ассоциация VN

    Сообщения:
    739
    Симпатии:
    440
    Здравствуйте!
    Объект удален, поводов для беспокойства нет.
     
  7. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    _Vladimir, Изменения какие-либо есть? Что происходит с вашей проблемы?:)
     
  8. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    icotonev, спасибо вам БОЛЬШОЕ!!!!
    Компьютер быстрее начал работать - а это ОЧЕНЬ хорошо, друзья поверьте, я безумно вам благодарен!!
    1) Мне больше ничего проверять не нужно, как я понимаю?
    2) Зачем вы оказываете помощь людям бесплатно?
    Мне для себя интересно :)
     
  9. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.441
    Симпатии:
    13.945
    А почему бы и нет?
     
    6 пользователям это понравилось.
  10. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    "А почему бы и нет?"
    ну.. я не возражаю :))

    просто за эти услуги, другие люди берут большие деньги, и на этом построен большой бизнес - держа людей в постоянном состоянии страха и делая на этом состояния.
    А вы вот просто так..
    Честь вам и хвала!
     
    10 пользователям это понравилось.
Статус темы:
Закрыта.

Поделиться этой страницей