Решена Вирус не дает зайти в вконтакте (vk.com)

Статус
В этой теме нельзя размещать новые ответы.

wladm

Активный пользователь
Сообщения
5
Реакции
0
Баллы
311
Здравствуйте.
У меня тема, похожая на http://safezone.cc/threads/vkontakte-vy-pytaetes-zajti-iz-neobychnogo-mesta.16081/

При вводе логина и пароля на vk.com появляется надпись:

Вы пытаетесь зайти под именем (имя) из необычного места.
Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница. +7 46
Подтвердить
Выйти
В случае, если Вы по какой-либо причине не можете вспомнить номер, к которому привязана Ваша страница, Вы можете ввести номер с которого сможете подтвердить авторизацию.



Помогите пожалуйста удалить вирус.
 

Вложения

  • CollectionLog-2014.02.15-21.33.zip
    110.3 KB · Просмотры: 4

wladm

Активный пользователь
Сообщения
5
Реакции
0
Баллы
311
Вот файлы из архива:
 

Вложения

  • info.txt
    35.1 KB · Просмотры: 1
  • log.txt
    24.7 KB · Просмотры: 1
  • SITLog.txt
    141.9 KB · Просмотры: 1
  • SITLog_Info.txt
    106.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    29 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30.8 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
20,139
Реакции
13,789
Баллы
2,293
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Windows\Tasks\At1.job','32');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


Пофиксите в HijackThis следующие строчки
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8


Обновите базы MBAM, проведите полное сканирование и после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
 

wladm

Активный пользователь
Сообщения
5
Реакции
0
Баллы
311
Отправляю лог:
 

Вложения

  • MBAM-log-2014-02-16 (01-09-13).txt
    12 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
20,139
Реакции
13,789
Баллы
2,293
Удалите в MBAM
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены: 4
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\Windows\system32\userinit.exe,C:\Windows\apppatch\gkpkhle.exe,) Хорошо: (userinit.exe) -> Действие не было предпринято.

Обнаруженные папки: 4
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy\8B4BE00A16CF411DA94A986026CA63E6 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы: 34
C:\Users\Администратор\AppData\Roaming\java\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy\8B4BE00A16CF411DA94A986026CA63E6\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

После перезапустите автологер и повторите сбор логов, посмотрим, что осталось
 

wladm

Активный пользователь
Сообщения
5
Реакции
0
Баллы
311
Я не нашел, как удалить эти строки. Поэтому заново провел полную проверку, и удалил все что было после нее.
 

Вложения

  • info.txt
    32.2 KB · Просмотры: 0
  • log.txt
    24.6 KB · Просмотры: 2
  • SITLog.txt
    141.8 KB · Просмотры: 0
  • SITLog_Info.txt
    107.5 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    28.5 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30 KB · Просмотры: 1

wladm

Активный пользователь
Сообщения
5
Реакции
0
Баллы
311
VK стал нормально запускаться. Вроде бы все впорядке, спасибо огромное!
 

Вложения

  • SecurityCheck.txt
    3.1 KB · Просмотры: 1

akok

Команда форума
Администратор
Сообщения
20,139
Реакции
13,789
Баллы
2,293
Обновляйтесь:
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

-------------Java---------------------------------
Java 7 Update 21 v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u51-windows-i586.exe^
Java Auto Updater v.2.1.9.5
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 12 Plugin v.12.0.0.44
Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.32.0.1700.107
Opera 12.15 v.12.15.1748 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
-------------RunningProcess-----------------------

Рекомендации после удаления вредоносного ПО
 

akok

Команда форума
Администратор
Сообщения
20,139
Реакции
13,789
Баллы
2,293
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,135
Реакции
6,304
Баллы
1,098
+ Рекомендую воспользоваться рекомендациями из этой темы и убрать клоны адаптеров Microsoft 6to4 # цифра.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу