• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена проблемы с vk.com, а также с баннерами

Статус
В этой теме нельзя размещать новые ответы.

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Проблема в подключению к сайту vk.com, из всех браузеров заходит только стандартный IE, причем сам сайт работает плохо, такое впечатление, что данные идут через вредоносную программу (например, при случайном нажатии в обычный текст открывается сторонний сайт). Также появляются одинаковые баннеры на разных сайтах, на которых их быть не должно. Сайт и форум касперского не открываются.

Заранее спасибо.
 

Вложения

  • info.txt
    59.6 KB · Просмотры: 2
  • log.txt
    42.7 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    53.6 KB · Просмотры: 0
  • virusinfo_syscure.zip
    77.2 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую asdfghjkl, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41
обновите базы и переделайте логи.
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Пожалуйста, уточните, как можно обновить базы. Насколько я понимаю, автообновление AVZ в Windows 7 не работает. В справке программы нет указаний, как можно добавить базы из архива (архив скачал с вашего сайте). Спасибо!
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
распаковать в папку в avz4\base
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Обновить автоматически не удается (ошибка загрузки файла). Пока что распаковал архив в папку base. Прикладываю новые логи.
 

Вложения

  • virusinfo_syscure.zip
    55.2 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    53.9 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
asdfghjkl, скачайте отсюда AVZ с обновлёнными базами, распакуйте его.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\Мааксим\Downloads\Adobe_Photoshop_11.0.1_CS4_Extended\Keygen.rar','');
 QuarantineFile('C:\PROGRA~3\Mozilla\vieiiwc.exe','');
 QuarantineFile('\ehome\ehPrivJob.exe','');
 QuarantineFile('C:\Users\76CE~1\AppData\Local\Temp\421157349aq','');
 QuarantineFile('C:\Users\76CE~1\AppData\Local\Temp\268809737aq','');
 DeleteFile('C:\Users\76CE~1\AppData\Local\Temp\268809737aq','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','64');
 DeleteFile('C:\Users\76CE~1\AppData\Local\Temp\421157349aq','32');
 DeleteFile('C:\Windows\system32\Tasks\At2','64');
 DeleteFile('C:\PROGRA~3\Mozilla\vieiiwc.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\qktdzge','64');
ExecuteSysClean;
RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ combofix почему без разрешения запускали ? прикрепите лог его работы.

+ по окончанию лечения смените пароли.
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Файл отправил, логи прикладываю. Comofix делал до запроса для форума касперского, но потом вирус заблокировал вход на тот форум. Логи combofix удалил, нужно ли делать новые?

Пока что проблема остается.
 

Вложения

  • virusinfo_syscheck.zip
    45.8 KB · Просмотры: 3
  • log.txt
    42.8 KB · Просмотры: 2
  • info.txt
    58.7 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
ссылку на тему дайте
+ прикрепите лог комбофикса.
по прежнему жду ;)

+ эти папки знакомы вам ?
Код:
C:\5b2c4a65d839f32309f764de
C:\eabbffa71d7345091669da
C:\5d307268009c170cf5e50a5d99e9

+ Проверьте эти файлы на virustotal
Код:
c:\windows\system32\drivers\o2flash.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Ссылку дать не получится, т.к. вход на тот форум заблокирован (вместо него появляется страничка яндекса).

Прикрепляю лог combofix.
 

Вложения

  • combofix.txt
    28.4 KB · Просмотры: 2

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
+ эти папки знакомы вам ?
Код:
C:\5b2c4a65d839f32309f764de
C:\eabbffa71d7345091669da
C:\5d307268009c170cf5e50a5d99e9

Нет. В них лежит много файлов с названием Windows6.1.

c:\windows\system32\drivers\o2flash.exe

Проводник файла не видит, хотя отображение скрытых и системных файлов включено.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Проводник файла не видит, хотя отображение скрытых и системных файлов включено.
попробуйте прислать в карантин по этой инструкции.

Добавлено через 6 минут 18 секунд
NameServer = 5.104.108.204
вот ваша проблема. К интернету подключены через роутер ?

+ сделайте ещё такой лог
и вот такой.
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Карнтин создать не получается: файлы обнаруживаются (в двух местах), но потом в окне с архивированием за сегодняшенее число папка остается пустой.

Universal Virus Sniffer зависает при формировании лога (действие "проверка цифровых подписей").

Прикрепляю лог hijackthis.

вот ваша проблема. К интернету подключены через роутер ?

В чем именно проблема? Да, через роутер.
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Еще раз прикладываю лог, в предыдущем сообщении не прошел.
 

Вложения

  • hijackthis.log
    17.9 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
Профиксите в HijackThis

Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E348DC9-8D04-48B4-810B-6BD2DD7AE957}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{2486C1AE-98B3-40EF-A98C-2F7038947195}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1FB957-CCA1-4C00-B026-B9DEB83F03D8}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB5397A4-93F1-4556-B439-F6CCB14705D3}: NameServer = 5.104.108.204
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E348DC9-8D04-48B4-810B-6BD2DD7AE957}: NameServer = 5.104.108.204
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E348DC9-8D04-48B4-810B-6BD2DD7AE957}: NameServer = 5.104.108.204

если пропадёт интернет соединение, то пропишите настройки DNS рекомендованные провайдером.

- Очистите кеш и куки браузеров

сделайте новый лог hijackthis

и ещё раз попытайтесь сделать лог uVS (проверку подписей он немного долго делает, может просто надо подождать).

что с проблемой ?

Добавлено через 57 секунд
В чем именно проблема?
у вас прописаны троянские DNS
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Большое спасибо!

Проблема ушла, хотя вконтакте грузится по-прежнему очень долго и не весь работает (может, и в самом сайте проблема). Прикрепляю лог hijackthis. Лог UVS сделать нормально не получается - виснет на "цифровых подписях". Через два дня (!) работы выдал в лог нечто странное с непонятной кодировкой. Прикрепить не получается, т.к. размер "лога" 13 мб. Может, пойдет вариант без цифровых подписей? Также в самой программе внизу есть список операций, в т.ч. указания на поврежденные файлы и невозможность открыть файл хостс. Пока что не понял, как можно этот список экспортировать, разве только скриншотом. В приложении на всякий случай список подозрительного из uVS, но это, как я понимаю, не то.
 

Вложения

  • hijackthis.log
    17.7 KB · Просмотры: 3
  • uVC.txt
    6.3 KB · Просмотры: 2

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
выдал в лог нечто странное с непонятной кодировкой. Прикрепить не получается, т.к. размер "лога" 13 мб.
заархивируйте это в архив и прикрепите - это скорее всего и есть лог. Если во вложения всё равно не поместится, то загрузите сюда http://rghost.ru/ и дайте ссылку на скачивание.

Выполните такой скрипт в AVZ

Код:
begin
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(false);
end.

он очистит кукисы и кеш браузеров и после этого перезагрузит компьютер, после этого ещё раз проверьте работу в контакте.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up
 

asdfghjkl

Активный пользователь
Сообщения
13
Реакции
0
Баллы
301
Спасибо, пока что все работает.

Отправляю то, что похоже на лог uVS.

При попытке деинсталировать ComboFix появляется ошибка "Не удается найти Combofix".
 

Вложения

  • BIGGIE2_2013-08-10_18-27-08.ZIP
    1.6 MB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу