Решена «Лечение систем от вредоносных программ»

[Dj Diret]

Здравствуйте,сайт вконтакте выдал такое сообщение

"С Вашей страницы неоднократно рассылался спам, поэтому она была заблокирована.

Страница будет разблокирована 9 июня 2011 в 19:42.

Как меня могли взломать? Внимательно изучите этот раздел, прежде чем возобновлять пользование сайтом, чтобы избежать блокировок за спам в дальнейшем."

подумал,что вирус,захожу в папку C:\Windows\system32\driver\ а папки etc нету

пересмотрел кучу вариантов,так же и через ереестр,так же и сканировал систему AVZ и Dr.Web Curelt

потом наткнулся на вашу статью и сделал все,как вы описываете в этой теме https://safezone.cc/forum/showthread.php?t=15

вот файлы,теперь подкскажите,что дальше?

 

[Сашка]

В логе сканирования Hijackthis отметьте:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

нажмите "Fix checked"

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

когда делали логи, CureIt запущен был?

TeamViewer - сами юзаете?

 

[Dj Diret]

вот файлики)
сначала просканировал CureIt -ом,а потом уже AVZ
да,teamviewer гоняю)

 

[akok]

Повторите сканирование MBAM и удалите:

Заражённые ключи в реестре:
HKEY_CURRENT_USER\Software\winxarj (Hoax.ArchSMS) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
Заражённые файлы:
c:\WINDOWS\reconstruction.exe (Trojan.Spambot) -> No action taken.

Добавлено через 12 секунд
Что с проблемами?

 

[Dj Diret]

все появилось и в файле hosts только это прописано

"# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost
127.0.0.1 mpa.one.microsoft.com"

 

[akok]

Это нормально. Кроме 127.0.0.1 mpa.one.microsoft.com - это признак пиратской версии windows.

 

[Dj Diret]

ну у меня windows XP service pack 3 от зверя за 10 июня 2010))))
значит все у меня нормально?
это реально от меня спам шел?

 

[akok]

Возможно, для точного ответа нужны логи и доступ к системе "спамолова" контакта. Ну или дождитесь разбана и прочтите комментарии от друзей.

Так или иначе необходимо сменить пароли страницы вконтакте и почтового ящика к которому страница привязана.

Создайте новую контрольную точку восстановления и проведите очистку предыдущих

 

[Dj Diret]

чистку контрольных точек уже делал)

 

[akok]

Ну и славно. Чистого интернета.

 

[Dj Diret]

спасибо за помощь)