Решена ВКонтакте - "Вы пытаетесь зайти из необычного места..."

Статус
В этой теме нельзя размещать новые ответы.

karp

Активный пользователь
Сообщения
5
Симпатии
0
Баллы
231
#1
Здравствуйте!
Пожалуйста, помогите.

ВКонтакт блокируется всплывающим сообщением. Пишет следующее:

"Проверка безопасности
Вы пытаетесь зайти из необычного места.
Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите номер Вашего телефона.
+7 [_________________]
В случае, если Вы по какой-либо причине не можете вспомнить номер, к которому привязана Ваша страница, Вы можете воспользоваться формой восстановления номера. "

После прочёсываний интернетов я так и не понял - это червь, или реальная проверка.
Просканировал компьютер, в соответствии с Правилами.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#2
Привет, сейчас погляжу

Добавлено через 9 минут 29 секунд
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('d:\program files\common files\spigot\search settings\searchsettings.exe');
 QuarantineFile('d:\program files\common files\spigot\search settings\searchsettings.exe','');
 QuarantineFile('D:\WINDOWS1\system32\mgking0.dll','');
 QuarantineFile('D:\WINDOWS1\system32\arking1.dll','');
 QuarantineFile('D:\systemhost\24FC2AE3565.exe','');
 QuarantineFile('D:\WINDOWS1\system32\mgking.exe','');
 QuarantineFile('D:\WINDOWS1\system32\arking.exe','');
 QuarantineFile('D:\Documents and Settings\All Users\Application Data\Microsoft\Windows\kxsziea.exe','');
 QuarantineFile('D:\WINDOWS1\TEMP\Bp6z3JI\urhutow.dll','');
 QuarantineFile('D:\WINDOWS1\system32\HpYfZTC.dll','');
 QuarantineFile('D:\WINDOWS1\system32\arking0.dll','');
 QuarantineFile('D:\Documents and Settings\All Users\Application Data\ISx31.tmp','');
 QuarantineFile('D:\Documents and Settings\All Users\Application Data\ISx28.tmp','');
 QuarantineFile('D:\w9.exe','');
 DeleteFile('D:\Documents and Settings\All Users\Application Data\ISx31.tmp');
 DeleteFile('D:\Documents and Settings\All Users\Application Data\ISx28.tmp');
 DeleteFile('D:\w9.exe');
 DeleteFile('D:\WINDOWS1\system32\arking0.dll');
 DeleteFile('D:\WINDOWS1\system32\HpYfZTC.dll');
 DeleteFile('D:\WINDOWS1\TEMP\Bp6z3JI\urhutow.dll');
 DeleteFile('D:\Documents and Settings\All Users\Application Data\Microsoft\Windows\kxsziea.exe');
 DeleteFile('D:\WINDOWS1\system32\arking.exe');
 DeleteFile('D:\WINDOWS1\system32\mgking.exe');
 DeleteFile('D:\systemhost\24FC2AE3565.exe');
 DeleteFile('D:\WINDOWS1\system32\arking1.dll');
 DeleteFile('D:\WINDOWS1\system32\mgking0.dll');
 DeleteFile('d:\program files\common files\spigot\search settings\searchsettings.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','B92wPsC');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','King_ar');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','king_mg');
 RegKeyParamDel('HKEY_USERS','S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run','YI9B2F0F3EXHWFVZBMP');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O4 - HKLM\..\Run: [SearchSettings] "D:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
O4 - HKLM\..\Run: [B92wPsC] D:\Documents and Settings\All Users\Application Data\Microsoft\Windows\kxsziea.exe
O4 - HKCU\..\Run: [king_mg] D:\WINDOWS1\system32\mgking.exe
O4 - HKCU\..\Run: [King_ar] D:\WINDOWS1\system32\arking.exe
O4 - HKUS\S-1-5-19\..\Run: [YI9B2F0F3EXHWFVZBMP] D:\systemhost\24FC2AE3565.exe (User 'LOCAL SERVICE')
O20 - AppInit_DLLs: HpYfZTC.dll
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

karp

Активный пользователь
Сообщения
5
Симпатии
0
Баллы
231
#3
Письмо послал.

Только возникли проблемы с фиксом в HJT.
Строк нужных нету. Нашёл только две строки (020 - ... и 04 - HKUS\S-1-5-19\...)
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#4
Письмо послал.

Только возникли проблемы с фиксом в HJT.
Строк нужных нету. Нашёл только две строки (020 - ... и 04 - HKUS\S-1-5-19\...)
Хорошо, значит AVZ справился жду лога MBAM + повторные логи AVZ и RSIT

Добавлено через 21 минуту 39 секунд
В карантин попались:

  • arking.exe - Trojan.Win32.Vaklik.mxx
  • arking0.dll - Trojan-GameThief.Win32.Magania.fqxx
  • arking1.dll - Trojan-GameThief.Win32.Magania.fkib
  • kxsziea.exe - Trojan-Dropper.Win32.Injector.uzb
  • HpYfZTC.dll - Trojan.Win32.Yakes.jer
  • mgking.exe, mgking0.dll, w9.exe - Packed.Win32.Klone.bq
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#6
Повторите сканирование в MBAM и удалите все кроме:

Код:
c:\sibelius.v6.1.0.14.update\patch_sibelius_v6.1.0.14.exe (RiskWare.Tool.CK) -> No action taken.
Internet Explorer 6.0.2900.5512 - обновите до последней версии

Stream.AntiVirus - поддержка завершена, установите какой-либо другой антивирус.

+ выполните скрипт AVZ:

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Application Updater', 4);
 StopService('Application Updater');
 TerminateProcessByName('d:\program files\application updater\applicationupdater.exe');
 QuarantineFile('HpYfZTC.dll','');
 QuarantineFile('d:\windows1\temp\rarsfx1\viorb.exe','');
 QuarantineFile('d:\program files\application updater\applicationupdater.exe','');
 DeleteFile('D:\Program Files\Application Updater\ApplicationUpdater.exe');
 DeleteFile('HpYfZTC.dll');
 DeleteService('Application Updater');
 DeleteFileMask('d:\program files\application updater\', '*.*', true);
 DeleteFileMask('d:\program files\common files\spigot\', '*.*', true);
 DeleteDirectory('d:\program files\application updater\');
 DeleteDirectory('d:\program files\common files\spigot\');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('HpYfZTC.dll');
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

+ Сделайте лог RSIT для контроля
 
Последнее редактирование:

karp

Активный пользователь
Сообщения
5
Симпатии
0
Баллы
231
#7
Архив послал.

Лог сделал:
 

Вложения

  • 34.5 KB Просмотры: 3

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#8
Немного мусора осталость, сейчас подчистим:

Выполните скрипт в АВЗ

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('D:\WINDOWS1\w_browser.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','D:\WINDOWS1\w_browser.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Как самочувствие системы?
 

karp

Активный пользователь
Сообщения
5
Симпатии
0
Баллы
231
#9
Скрипт сделал.
Пока всё в порядке.

Премного благодарен за помощь!!!
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,389
Симпатии
8,728
Баллы
743
#10
Смените важные пароли: контакт, почта и проч

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)


Обновите до последних версий:
Adobe Flash Player
Java

Не забудьте установить антивирус!!!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу