• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вы пытаетесь зайти из необычного места

Статус
В этой теме нельзя размещать новые ответы.

ArtemSTR

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
При попытке входа на Одноклассники, ВК или Мой Мир пишет данное сообщение
 

Вложения

  • info.txt
    26.2 KB · Просмотры: 0
  • log.txt
    45.6 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    37.4 KB · Просмотры: 2
  • virusinfo_syscure.zip
    38.7 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую ArtemSTR, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system\winlogon.exe','');
 QuarantineFile('C:\DOCUME~1\13CD9~1.1-8\LOCALS~1\Temp\75834156FdOh','');
 QuarantineFile('C:\Documents and Settings\1\Application Data\KickDll.dll','');
 DeleteFile('copy C:\DOCUME~1\13CD9~1.1-8\LOCALS~1\Temp\75834156FdOh C:\WINDOWS\system32\drivers\etc\hosts');
 DeleteFile('C:\DOCUME~1\13CD9~1.1-8\LOCALS~1\Temp\75834156FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','75834687');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O1 - Hosts: 46.251.249.135 odnoklassniki.ru my.mail.ru m.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru vk.com m.odnoklassniki.ru
O4 - HKLM\..\Run: [75834687] cmd.exe /c copy C:\DOCUME~1\13CD9~1.1-8\LOCALS~1\Temp\75834156FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

ArtemSTR

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
логи
 

Вложения

  • mbam-log-2012-11-11 (22-30-47).txt
    6.6 KB · Просмотры: 1
  • log.txt
    45.2 KB · Просмотры: 1
  • info.txt
    25.3 KB · Просмотры: 0
  • virusinfo_syscure.zip
    22.6 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    23.2 KB · Просмотры: 0

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Удалите в MBAM (если программу закрыли, то нужно повторить сканирование) только следующие строки:

Код:
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system\winlogon.exe) Хорошо: (userinit.exe) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\Documents and Settings\1.1-87AE35EC5CB14\Local Settings\Application Data\Webalta Toolbar (PUP.ToolBar.WA) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\Documents and Settings\1.1-87AE35EC5CB14\Local Settings\Application Data\Webalta Toolbar\uninstall.exe (PUP.ToolBar.WA) -> Действие не было предпринято.


далее:


  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.


далее:


  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска, например C:\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

ArtemSTR

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
Логи
 

Вложения

  • AdwCleaner[R1].txt
    2.7 KB · Просмотры: 1
  • SecurityCheck.txt
    2.3 KB · Просмотры: 5

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,503
Реакции
5,666
Баллы
753
Как самочувствие системы?


  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!


Обновите уязвимый софт:

Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Reader 8 - Russian v.8.1.2 Внимание! Скачать обновления
Mozilla Firefox 14.0.1 (x86 ru) v.14.0.1 Внимание! Скачать обновления
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления
Safari v.5.34.55.3 Внимание! Скачать обновления


Удалите через установку удаление программ Java и Java FX скачайте и установите новые версии по ссылкам ниже:

Java SE
JavaFX
 

ArtemSTR

Активный пользователь
Сообщения
4
Реакции
0
Баллы
301
Severnyj, да, все в порядке, спасибо большое за помощь!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу