• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Контакт заблокирован

Статус
В этой теме нельзя размещать новые ответы.

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Здравствуйте, уважаемые хелперы!
Вчера решил зайти в контакт, ввел емэйл и пароль от контакта, как всегда,
но на этот раз после нажатия на "Войти", загрузилась страница c следующим содержанием:"Пожалуйста, привяжите Вашу страницу к номеру сотового телефона, чтобы защитить ее от злоумышленников.

Мы также просим Вас выбрать новый пароль для Вашей страницы ВКонтакте. Для обеспечения максимальной безопасности мы рекомендуем менять пароль не реже двух раз в год." Я ввел свой номер, и вышел следующий текст:
"На ваш телефон в течение нескольких секунд придет сообщение.
В ответном SMS отправьте код: 30007
После отправки кода нажмите Подтвердить"
Тут насторожило меня три момента: 1) я раньше уже привязывал страницу к мобильному телефону, 2) почему надо мне отправлять ответный СМС?
3) с моего компьютера тоже нельзя зайти ни в один аккаунт ВК друзей.
Отсюда вывод: в компьютере вирус. Винду я ставил 30 апреля этого года. Вероятно, зараза попала вместе с ASK Toolbar при установке KMPlayer, я раньше всегда отменял установку этого тулбара, но в этот раз почему-то он установился.
Логи выкладываю. Касперский (штатный антивирус со свежими обновлениями) ничего не нашел, но сегодня он удалил файл
с рандомным названием, состоящим только из цифр.
 

Вложения

  • info.txt
    13.5 KB · Просмотры: 1
  • log.txt
    153.8 KB · Просмотры: 2
  • virusinfo_syscure.zip
    43 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую hoper, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
ах да, забыл кое-что спросить!
Я проверил файл hosts, но блокнот показал, что там чисто, вот его содержание:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом #.
# Например:
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost

однако в логах рсит имеются вредоносные записи в секции Hosts
как вирус скрывает эти записи? Касперский не обнаружил наличие руткитов на компе
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Лог virusinfo_syscheck.zip
 

Вложения

  • virusinfo_syscheck.zip
    43.9 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('F:\WINDOWS\tasks\At1.job','');
 QuarantineFile('F:\WINDOWS\tasks\At2.job','');
 DeleteFile('F:\WINDOWS\tasks\At1.job');
 DeleteFile('F:\WINDOWS\tasks\At2.job');
 ExecuteRepair(13);
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Скрипт я выполню завтра
F:\WINDOWS\tasks\At1.job - это файл, содержащий задания для Планировщика Задач Windows XP? Зачем удалять этот файл?
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Если сами задачу не устанавливали, то в 99% там задача на подмену файла hosts, чтоб в этом убедиться
Да, вы правы, после лечения компьютера отключу службу Планировщика Задач

Добавлено через 4 минуты 35 секунд
процитировать содержимое не смог, блокнот пишет, что At1.job - бинарный файл, после его открытия появляются кракозябры
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Последнее редактирование:

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
вот их и вставьте, а с кодировкой мы разберемся или прикрепите сюда файлы At1.job и At2.job
К сожалению, скрипт я выполнил и файлы удалились, они должны быть в карантине, который я отправил.
Сейчас делаю логи МВАМ
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
они должны быть в карантине, который я отправил.
Нашел...
Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\1894343aq');
 DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\1413921aq');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
лог МВАМ
 

Вложения

  • MBAM-log-2013-05-06 (19-11-56).txt
    26.3 KB · Просмотры: 3

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
В MBAM ничего удалять не нужно.

Файлы из папки:
E:\Файлы со старого системника\Нужные файлы\Гульнара\Новая папка\
если знакомы - оставляйте. Если нет, советую удалить.

Что с проблемой?
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
E:\Файлы со старого системника\Нужные файлы\Гульнара\Новая папка\
Эта папка старая, давно туда файлы закачивали, думаю, там нет ничего плохого.
Сейчас Вконтакт заходит. Спасибо.
Но второй скрипт я еще не выполнял.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
второй скрипт я еще не выполнял
Выполните. После перезагрузки:

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Я сделал новые логи на всякий случай
 

Вложения

  • info.txt
    13 KB · Просмотры: 0
  • log.txt
    154 KB · Просмотры: 1
  • virusinfo_syscure.zip
    45.4 KB · Просмотры: 1

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
418
Содержимое лога SecurityCheck by glax24:
"Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 06.05.2013 19:44:35
Program directory: F:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
Log directory: F:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.0
Диск F:\ ФС: NTFS Емкость: (15.9 Гб) Занято: (10.8 Гб) Свободно: (5.1 Гб)
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Дата установки ОС: 30.04.2013 17:51:42
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-05 08:55:01
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
CCleaner (remove only)
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления
^Скачайте jre-7u21-windows-i586.exe^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
Adobe Reader XI (11.0.02) v.11.0.02
-------------Browser------------------------------
Opera 12.15 v.12.15.1748
-------------RunningProcess-----------------------
F:\Program Files\Opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------"

Добавлено через 47 секунд
Вобщем надо обновить Java и Flash Player

Добавлено через 5 минут 24 секунды
Вобщем надо обновить Java и Flash Player
Сделал
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,862
Реакции
2,105
Баллы
643
Порядок.
Обновляйтесь и не болейте!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу