Решена Вирус не дает зайти в вконтакте (vk.com)

Статус
В этой теме нельзя размещать новые ответы.

wladm

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте.
У меня тема, похожая на https://safezone.cc/threads/vkontakte-vy-pytaetes-zajti-iz-neobychnogo-mesta.16081/

При вводе логина и пароля на vk.com появляется надпись:

Вы пытаетесь зайти под именем (имя) из необычного места.
Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница. +7 46
Подтвердить
Выйти
В случае, если Вы по какой-либо причине не можете вспомнить номер, к которому привязана Ваша страница, Вы можете ввести номер с которого сможете подтвердить авторизацию.



Помогите пожалуйста удалить вирус.
 

Вложения

  • CollectionLog-2014.02.15-21.33.zip
    110.3 KB · Просмотры: 4
Вот файлы из архива:
 

Вложения

  • info.txt
    35.1 KB · Просмотры: 1
  • log.txt
    24.7 KB · Просмотры: 1
  • SITLog.txt
    141.9 KB · Просмотры: 1
  • SITLog_Info.txt
    106.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    29 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30.8 KB · Просмотры: 1
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Windows\Tasks\At1.job','32');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


Пофиксите в HijackThis следующие строчки
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8


Обновите базы MBAM, проведите полное сканирование и после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
 
Отправляю лог:
 

Вложения

  • MBAM-log-2014-02-16 (01-09-13).txt
    12 KB · Просмотры: 3
Удалите в MBAM
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены: 4
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\Windows\system32\userinit.exe,C:\Windows\apppatch\gkpkhle.exe,) Хорошо: (userinit.exe) -> Действие не было предпринято.

Обнаруженные папки: 4
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy\8B4BE00A16CF411DA94A986026CA63E6 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы: 34
C:\Users\Администратор\AppData\Roaming\java\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy\8B4BE00A16CF411DA94A986026CA63E6\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

После перезапустите автологер и повторите сбор логов, посмотрим, что осталось
 
Я не нашел, как удалить эти строки. Поэтому заново провел полную проверку, и удалил все что было после нее.
 

Вложения

  • info.txt
    32.2 KB · Просмотры: 0
  • log.txt
    24.6 KB · Просмотры: 2
  • SITLog.txt
    141.8 KB · Просмотры: 0
  • SITLog_Info.txt
    107.5 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    28.5 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30 KB · Просмотры: 1
VK стал нормально запускаться. Вроде бы все впорядке, спасибо огромное!
 

Вложения

  • SecurityCheck.txt
    3.1 KB · Просмотры: 1
Обновляйтесь:
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

-------------Java---------------------------------
Java 7 Update 21 v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u51-windows-i586.exe^
Java Auto Updater v.2.1.9.5
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 12 Plugin v.12.0.0.44
Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.32.0.1700.107
Opera 12.15 v.12.15.1748 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
-------------RunningProcess-----------------------

Рекомендации после удаления вредоносного ПО
 
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 
+ Рекомендую воспользоваться рекомендациями из этой темы и убрать клоны адаптеров Microsoft 6to4 # цифра.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу