• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Не могу зайти в одноклассники и мой мир

Статус
В этой теме нельзя размещать новые ответы.

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#1
ДД. Помогите решить проблему. При попытке зайти в соц сети (мой мир и одноклассники) просит подтвердить номер телефона и отправить смс на короткий номер.
Я просканировала систему с помощью программки Malwarebytes Anti-Malware (нашла на этом сайте). Выкладываю лог. Какие действия мне предпринять дальше?
 

Вложения

Ботан

Злостный спам-бот
Сообщения
976
Симпатии
174
#2
Приветствую Дарья, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Sfera

Куратор обучения
Ассоциация VN/VIP
VIP
Сообщения
6,312
Симпатии
4,800
#3
Дарья, логи бы увидеть
virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме
 

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#4
Я же вложила файл с программы MBAM. Кидаю еще раз.
Сейчас делаю проверку с помощью AVZ.
Как закончит выложу и тот.
 

Вложения

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#6
А еще сегодня появилась непонятная поисковая система Webalta. Помогите избавиться и от нее, пожалуйста.

Добавлено через 8 минут 50 секунд
Я, видимо, совсем не умею читать все до конца!)
Сейчас в спокойной обстановке все прочла (ребенок пока спит), делаю все согласно инструкции и вложу файлы кучей.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#9
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('C:\Users\Администратор\AppData\Local\Webalta Toolbar\uninstall.exe', '', 0, 35000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\', '*.exe', true, '', 0, 0);
 QuarantineFileF('C:\Users\Администратор\AppData\Local\Webalta Toolbar\', '*.exe', true, '', 0, 0);
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk');
 DeleteFileMask('C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\', '*.*', true);
 DeleteDirectory('C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\');
 DeleteFileMask('C:\Users\Администратор\AppData\Local\Webalta Toolbar\', '*.*', true);
 DeleteDirectory('C:\Users\Администратор\AppData\Local\Webalta Toolbar\');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}');
 DelCLSID('FE704BF8-384B-44E1-8CF2-8DBEB3637A8A');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD0A7AC4-E0ED-41BD-A230-28007AA64498}: NameServer = 217.23.3.185
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Повторите сканирование в MBAM и удалите только следующие строки:

Код:
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Page (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/search) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Webalta Toolbar\Удалить Webalta Toolbar.lnk (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.
 

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#10
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD0A7AC4-E0ED-41BD-A230-28007AA64498}: NameServer = 217.23.3.185
Из всех была только последняя строчка О17, её профиксила
RSIT в этот раз почему-то текстовый файл info не создал.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#11
Карантин отправили? Если да то продублируйте на почту

на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
В MBAM что-нибудь нашлось?

Как самочувствие системы?

Проверимся на уязвимости:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#12
Вот что удалось сделать с помощью MBAM:


Код:
Malwarebytes Anti-Malware 1.70.0.1100
[url]www.malwarebytes.org[/url]

Версия базы данных:  v2013.01.13.09

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Администратор :: BEST-8CDS6U8II4 [администратор]

14.01.2013 18:02:11
mbam-log-2013-01-14 (18-02-11).txt

Тип сканирования:  Полное сканирование  (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  355662
Времени прошло:  35 минут , 19 секунд 

Обнаруженные процессы в памяти:  1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> 1996 -> Действие не было предпринято.

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено) 

Обнаруженные ключи в реестре:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре:  1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены:  1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки:  0
(Вредоносных программ не обнаружено) 

Обнаруженные файлы:  5
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Soft\WPI x86-x64 by OVGorskiy 12.12\Активаторы\Windows Loader v2.1.9.exe (Trojan.Dropper) -> Действие не было предпринято.
D:\Разное\Иконки\Формат.png\Snow.exe (Trojan.Downloader) -> Действие не было предпринято.

(конец)
 
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#13
Хорошо, оставшиеся - это неопасные объекты.

Продолжайте далее по моему предыдущему посту.
 

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#14
Карантин отправили? Если да то продублируйте на почту
Отправила, на почту продублировала.

Добавлено через 3 минуты 14 секунд
Код:
Security Check by glax24 version 0.1.6.52 rc1
WebSite: [url]www.safezone.cc[/url]
DataLog 14.01.2013 18:57:50
Program directory: C:\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=2.1 
Диск C:\ ФС: NTFS Емкость: (160.2 Гб) Занято: (33.7 Гб) Свободно: (126.5 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 09.01.2013 17:07:47
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
[color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-01-14 04:52:07
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Сканирование [b]отключено[/b]
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Microsoft Security Essentials
Windows Defender
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.1.522.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java 7 Update 9 v.7.0.90 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-7u10-windows-i586.exe^[/b][/color]
-------------AppleProduction----------------------
QuickTime v.7.71.80.42 [color=red][b]Внимание! [url=http://www.apple.com/ru/quicktime/]Скачать обновления[/url][/b][/color]
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 11 Plugin v.11.5.502.135 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe]Скачать обновления[/url][/b][/color]
Adobe Reader XI - Russian v.11.0.00
-------------Browser------------------------------
Google Chrome v.24.0.1312.52
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.24.0.1312.52
-------------EndLog-------------------------------
Добавлено через 4 минуты 8 секунд
Спасибо огромное за помощь! Проблема исчезла. Только Webalta осталась, так и не ушла(
 
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,435
Симпатии
8,710
#15
Закрывайте уязвимости:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления
^Скачайте jre-7u10-windows-i586.exe^
Adobe Flash Player 11 ActiveX v.11.5.502.135 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.135 Внимание! Скачать обновления
Единственные поправки:

Сегодня утром вышла новая Java - так что по указанной ссылке качайте файл jre-7u11-windows-i586.exe предварительно поставьте на той странице флаг Accept License Agreement

+

Для Adobe Reader скачайте и установите данный патч:

ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.01/misc/AdbeRdrUpd11001.msp

Добавлено через 46 секунд
Только Webalta осталась, так и не ушла(
В каком именно браузере?
 

Дарья

Активный пользователь
Сообщения
11
Симпатии
1
#18
То, что вы присылали по webalta не помогло.
Искала через поиск и визуально. Без результатов.
Удалила и заново поставила хром вроде исчезло.
Большое спасибо за помощь!

Добавлено через 1 минуту 1 секунду
Закрывайте уязвимости:
Цитата
Сообщение от Дарья
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Java 7 Update 9 v.7.0.90 Внимание! Скачать обновления
^Скачайте jre-7u10-windows-i586.exe^
Adobe Flash Player 11 ActiveX v.11.5.502.135 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.135 Внимание! Скачать обновления
Единственные поправки:
Сегодня утром вышла новая Java - так что по указанной ссылке качайте файл jre-7u11-windows-i586.exe предварительно поставьте на той странице флаг Accept License Agreement
+
Для Adobe Reader скачайте и установите данный патч:
ftp://ftp.adobe.com/pub/adobe/reader...drUpd11001.msp
Это все сделала!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу