• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Открывает сайт clubrelaxxxx / gibdd и требует денег Вконтакте

Статус
В этой теме нельзя размещать новые ответы.

Lucy_Acid

Активный пользователь
Сообщения
8
Симпатии
0
#1
Здравствуйте, где-то неделю назад Яндекс.Защитник стал выводить информацию, что файл hosts пытаются изменить. Я запрещала изменения и все было нормально. День назад мне надоело это сообщение и я запретила выводить сообщения об этом файле. После перезапуска компьютера, при открытии страници или просто со временем стал вылазить сайт из заголовка, при запуске, еще до того как можно двигать курсор, вылезает Командная строка (пустая, в заголовке написано только C:/Windows/System32/cmd.exe) и нельзя зайти Вконтакте даже с правильным паролем.
Скорее всего это был зараженный трояном crack, его я уже удалила.

Логи прилагаю.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
970
Симпатии
173
#2
Приветствую Lucy_Acid, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#3
Выполните скрипт в AVZ (утилиту запускать от имени Администратора по правой кнопке мыши)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\LUCY_A~1\AppData\Local\Temp\1820781FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1820859');
DeleteFileMask('C:\ProgramData\6iNtjwSz1R0', '*', true);
DeleteDirectory('C:\ProgramData\6iNtjwSz1R0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RebootWindows(true);
end.
Компьютер перезагрузится.

Очистите куки и кэш браузеров

Обновите базы AVZ

Сделайте новые логи
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#5
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

Как самочувствие системы?
 

Lucy_Acid

Активный пользователь
Сообщения
8
Симпатии
0
#6
Да вроде реже стал сайт выскакивать, командной строки не вижу.

Вот лог от Security
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#7
Да вроде реже стал сайт выскакивать
Но полностью еще не решена проблема?

Закрывайте уязвимости:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Java(TM) 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Shockwave Player 11.6 v.11.6.6.636 Внимание! Скачать обновления
Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления
 

Lucy_Acid

Активный пользователь
Сообщения
8
Симпатии
0
#9
Нет, не решена. Обновления качаю, кэш уже три раза чистила, при каждой перезагрузке.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#10
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 

Lucy_Acid

Активный пользователь
Сообщения
8
Симпатии
0
#11
Логи OTL
Это от него выскочила Командная строка со словами DISKREPORT% ?
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#12
Это от него выскочила Командная строка со словами DISKREPORT% ?
Да

Добавлено через 9 минут 51 секунду
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    O20:[b]64bit:[/b] - HKLM Winlogon: System - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
    O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
    O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
    MsConfig:64bit - StartUpReg: [b]uTorrent[/b] - hkey= - key= -  File not found
    MsConfig:64bit - State: "startup" - Reg Error: Key error.
    MsConfig:64bit - State: "services" - Reg Error: Key error.
    [2012.08.25 09:46:00 | 000,000,138 | ---- | C] () -- C:\windows\SysWow64\operaprefs_fixed.ini
    [2009.07.14 07:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
    
    :Services
    
    :Files
    ipconfig /flushdns /c
    
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#14
Что с проблемой?
 

Lucy_Acid

Активный пользователь
Сообщения
8
Симпатии
0
#15
Вроде перестало появляться. Спасибо за помощь. Можно ли как-то проверить на вирус? Надо ли ставить какой-то антивирус после всего этого?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#16

Lucy_Acid

Активный пользователь
Сообщения
8
Симпатии
0
#17
Спасибо большое Вам.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,699
#18
И вам не болеть))
 
Статус
В этой теме нельзя размещать новые ответы.