1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Решена Контакт заблокирован

Тема в разделе "Удаление компьютерных вирусов", создана пользователем hoper, 5 май 2013.

Статус темы:
Закрыта.
  1. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Здравствуйте, уважаемые хелперы!
    Вчера решил зайти в контакт, ввел емэйл и пароль от контакта, как всегда,
    но на этот раз после нажатия на "Войти", загрузилась страница c следующим содержанием:"Пожалуйста, привяжите Вашу страницу к номеру сотового телефона, чтобы защитить ее от злоумышленников.

    Мы также просим Вас выбрать новый пароль для Вашей страницы ВКонтакте. Для обеспечения максимальной безопасности мы рекомендуем менять пароль не реже двух раз в год." Я ввел свой номер, и вышел следующий текст:
    "На ваш телефон в течение нескольких секунд придет сообщение.
    В ответном SMS отправьте код: 30007
    После отправки кода нажмите Подтвердить"
    Тут насторожило меня три момента: 1) я раньше уже привязывал страницу к мобильному телефону, 2) почему надо мне отправлять ответный СМС?
    3) с моего компьютера тоже нельзя зайти ни в один аккаунт ВК друзей.
    Отсюда вывод: в компьютере вирус. Винду я ставил 30 апреля этого года. Вероятно, зараза попала вместе с ASK Toolbar при установке KMPlayer, я раньше всегда отменял установку этого тулбара, но в этот раз почему-то он установился.
    Логи выкладываю. Касперский (штатный антивирус со свежими обновлениями) ничего не нашел, но сегодня он удалил файл
    с рандомным названием, состоящим только из цифр.
     

    Вложения:

    • info.txt
      Размер файла:
      13,5 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      153,8 КБ
      Просмотров:
      2
    • virusinfo_syscure.zip
      Размер файла:
      43 КБ
      Просмотров:
      2
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Ботан

    Ботан Злостный спам-бот

    Сообщения:
    974
    Симпатии:
    194
    Приветствую hoper, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  4. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    ах да, забыл кое-что спросить!
    Я проверил файл hosts, но блокнот показал, что там чисто, вот его содержание:
    # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
    # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
    # Этот файл содержит сопоставления IP-адресов именам узлов.
    # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
    # находиться в первом столбце, за ним должно следовать соответствующее имя.
    # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
    # Кроме того, в некоторых строках могут быть вставлены комментарии
    # (такие, как эта строка), они должны следовать за именем узла и отделяться
    # от него символом #.
    # Например:
    # 102.54.94.97 rhino.acme.com # исходный сервер
    # 38.25.63.10 x.acme.com # узел клиента x
    127.0.0.1 localhost

    однако в логах рсит имеются вредоносные записи в секции Hosts
    как вирус скрывает эти записи? Касперский не обнаружил наличие руткитов на компе
     
  5. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Лог virusinfo_syscheck.zip
     

    Вложения:

  6. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.591
    Симпатии:
    1.249
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, фаерволл и прочее защитное ПО.

    Выполните скрипт в AVZ (Файл - Выполнить скрипт):
    Код (Text):
    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
      if not IsWOW64
       then
        begin
         SearchRootkit(true, true);
         SetAVZGuardStatus(True);
        end;
     QuarantineFile('F:\WINDOWS\tasks\At1.job','');
     QuarantineFile('F:\WINDOWS\tasks\At2.job','');
     DeleteFile('F:\WINDOWS\tasks\At1.job');
     DeleteFile('F:\WINDOWS\tasks\At2.job');
     ExecuteRepair(13);
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
     ExecuteWizard('SCU',2,3,true);
     RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    Повторите логи AVZ и RSIT.

    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве
     
  7. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Скрипт я выполню завтра
    F:\WINDOWS\tasks\At1.job - это файл, содержащий задания для Планировщика Задач Windows XP? Зачем удалять этот файл?
     
  8. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.591
    Симпатии:
    1.249
    Процитируйте его содержимое. А также At2.job
     
  9. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.771
    Симпатии:
    14.799
    Если сами задачу не устанавливали, то в 99% там задача на подмену файла hosts, чтоб в этом убедиться
     
    1 человеку нравится это.
  10. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Да, вы правы, после лечения компьютера отключу службу Планировщика Задач

    Добавлено через 4 минуты 35 секунд
    процитировать содержимое не смог, блокнот пишет, что At1.job - бинарный файл, после его открытия появляются кракозябры
     
  11. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.119
    Симпатии:
    4.835
    вот их и вставьте, а с кодировкой мы разберемся или прикрепите сюда файлы At1.job и At2.job
     
    Последнее редактирование: 6 май 2013
    1 человеку нравится это.
  12. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    К сожалению, скрипт я выполнил и файлы удалились, они должны быть в карантине, который я отправил.
    Сейчас делаю логи МВАМ
     
  13. shestale

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    9.119
    Симпатии:
    4.835
    Нашел...
    Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\1894343aq');
     DeleteFile('F:\DOCUME~1\Admin\LOCALS~1\Temp\1413921aq');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
     
    1 человеку нравится это.
  14. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    лог МВАМ
     

    Вложения:

  15. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.591
    Симпатии:
    1.249
    В MBAM ничего удалять не нужно.

    Файлы из папки:
    если знакомы - оставляйте. Если нет, советую удалить.

    Что с проблемой?
     
  16. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Эта папка старая, давно туда файлы закачивали, думаю, там нет ничего плохого.
    Сейчас Вконтакт заходит. Спасибо.
    Но второй скрипт я еще не выполнял.
     
  17. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.591
    Симпатии:
    1.249
    Выполните. После перезагрузки:

    Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

    Рекомендации после удаления вредоносного ПО
     
  18. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Я сделал новые логи на всякий случай
     

    Вложения:

    • info.txt
      Размер файла:
      13 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      154 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      45,4 КБ
      Просмотров:
      1
  19. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Содержимое лога SecurityCheck by glax24:
    "Security Check by glax24 version 0.1.6.54 rc1
    WebSite: www.safezone.cc
    DataLog 06.05.2013 19:44:35
    Program directory: F:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
    Log directory: F:\SecurityCheck\
    IsAdmin: True
    XML File - VersionInet=4.0
    Диск F:\ ФС: NTFS Емкость: (15.9 Гб) Занято: (10.8 Гб) Свободно: (5.1 Гб)
    __________________________________________________

    WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
    Дата установки ОС: 30.04.2013 17:51:42
    Service Pack 3
    Internet Explorer 8.0.6001.18702
    -------------Windows------------------------------
    Загружать автоматически обновления и устанавливать по заданному расписанию
    Дата установки обновлений: 2013-05-05 08:55:01
    Автоматическое обновление (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба остановлена
    Восстановление системы отключено
    -------------Antivirus_WMI------------------------
    -------------Firewall_WMI-------------------------
    -------------AntiVirusFirewallInstall-------------
    Kaspersky Internet Security 2013 v.13.0.1.4190
    -------------OtherUtilities-----------------------
    CCleaner (remove only)
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------Java---------------------------------
    Java 7 Update 17 v.7.0.170 Внимание! Скачать обновления
    ^Скачайте jre-7u21-windows-i586.exe^
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX & Plugin 32-bit v.11.6.602.180 Внимание! Скачать обновления
    Adobe Reader XI (11.0.02) v.11.0.02
    -------------Browser------------------------------
    Opera 12.15 v.12.15.1748
    -------------RunningProcess-----------------------
    F:\Program Files\Opera\opera.exe v.12.15.1748.0
    -------------EndLog-------------------------------"

    Добавлено через 47 секунд
    Вобщем надо обновить Java и Flash Player

    Добавлено через 5 минут 24 секунды
    Сделал
     
  20. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.591
    Симпатии:
    1.249
    Порядок.
    Обновляйтесь и не болейте!
     
  21. hoper

    hoper Активный пользователь

    Сообщения:
    360
    Симпатии:
    44
    Спасибо!
     
Загрузка...
Похожие темы - Контакт заблокирован
  1. Jukeboxx
    Ответов:
    5
    Просмотров:
    1.821
  2. Артем95
    Ответов:
    3
    Просмотров:
    2.549
  3. Alex33
    Ответов:
    14
    Просмотров:
    1.595
  4. toni4ka
    Ответов:
    18
    Просмотров:
    1.719
  5. backsunday
    Ответов:
    22
    Просмотров:
    3.849
  6. albertalf
    Ответов:
    9
    Просмотров:
    2.695
Статус темы:
Закрыта.

Поделиться этой страницей