• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Заблокирован аккаунт в Контакте (clubrelaxxxx.com/gibdd/)

Статус
В этой теме нельзя размещать новые ответы.

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Добрый вечер!
Два дня назад начала вылезать ссылка clubrelaxxxx.com/gibdd/ притом на всех страницах браузера, даже при клике на любое свободное место.
Заблокированы аккаунты в Контакте (мой и мужа). После каждой проверки антивирус выдает такое сообщение "Модифицирован файл hosts". Все попытки вычистить эту "заразу" венчаются провалом. Два дня бьюсь с этой проблемой.
Буду премного благодарна за помощь.
 

Вложения

Ботан

Злостный спам-бот
Сообщения
1,030
Реакции
128
Баллы
453
Приветствую serafina, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\User\Application Data\4BB7A519', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\User\Application Data\4BB7A2AB', '*.*', true, '', 0, 0);
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\60421406FdOh','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\190.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\190.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\60421406FdOh');
 DeleteFileMask('C:\Documents and Settings\User\Application Data\4BB7A519', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\User\Application Data\4BB7A519');
 DeleteFileMask('C:\Documents and Settings\User\Application Data\4BB7A2AB', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\User\Application Data\4BB7A2AB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','60421875');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O1 - Hosts: 46.251.249.137 my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 mc.yandex.ru admulti.com counter.spylog.com counter.rambler.ru www.google-analytics.com
O4 - HKLM\..\Run: [60421875] cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\60421406FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве



  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Спасибо за ответ.
Вот SecurityCheck.txt и новый комлект логов

Код:
Security Check by glax24 version 0.1.5.41 beta
WebSite: [url]www.safezone.cc[/url]
DataLog 30.11.2012 09:47:05
Program directory: C:\Documents and Settings\User\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.1
__________________________________________________

WIN_XP (x86) Lan:0409
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Notify of download and installation
Date install updates: 2012-11-14 16:53:25
Automatic Updates (wuauserv) - The service is running
Security Center (wscsvc) - The service is running
-------------Antivirus_WMI------------------------
Doctor Web Anti-Virus
Antivirus up to date!
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
Dr.Web anti-virus for Windows 6.0 (x86) v.6.00.0.10201
-------------OtherUtilities-----------------------
CCleaner v.3.21
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 [color=red][b]Warning! [url=http://www.java.com/en/download/manual_v6.jsp]Download UpDate[/url][/b][/color]
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 [color=red][b]Warning! [url=http://get.adobe.com/flashplayer/]Download UpDate[/url][/b][/color]
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Reader 9.5.1 - Russian v.9.5.1 [color=red][b]Warning! [url=http://get.adobe.com/reader/otherversions]Download UpDate[/url][/b][/color]
-------------Browser------------------------------
Mozilla Firefox 17.0 (x86 ru) v.17.0
Opera 11.00 v.11.00.1156 [color=red][b]Warning! [url=http://www.opera.com/browser/]Download UpDate[/url][/b][/color]
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.17.0.0.4706
-------------EndLog-------------------------------
 

Вложения

Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Логи RSIT старые прикрепили.

Пройдите по ссылкам из Вашего поста и закройте уязвимости (Java и Adobe Reader перед установкой новой версии нужно деинсталлировать)


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\User\Application Data\Microsoft\', '*.exe', false, '', 0, 0);
 QuarantineFileF('C:\Recycle.Bin', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\dd2\', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\insta2\', '*.*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\198.exe','');
 QuarantineFile('C:\Documents and Settings\User\0.3334076819292544.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\198.exe');
 DeleteFile('C:\Documents and Settings\User\0.3334076819292544.exe');
 DeleteFileMask('C:\Recycle.Bin', '*.*', true);
 DeleteDirectory('C:\Recycle.Bin');
 DeleteFileMask('C:\Program Files\dd2\', '*.*', true);
 DeleteDirectory('C:\Program Files\dd2\');
 DeleteFileMask('C:\Program Files\insta2\', '*.*', true);
 DeleteDirectory('C:\Program Files\insta2\');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
С добрым утром!
Я этот архив послала сразу (по форме).
Еще раз послать?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
После выполнения нового скрипта в AVZ будет сформирован новый архив.
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Архив послала по форме. После выполнения скрипта AVZ выдал сообщение, что заражение компьютера произошло через автоматический запуск программ на съемных носителях и спросил отключить ли автозапуск. Я нажала отключить. У меня свои родные флешки (чужие не использовала), рабочие, на которых крякнутые 1С, не эти ли программы антивирус расценил как вирус?

Добавлено через 15 минут 8 секунд
clubrelaxxxx.com/gibdd/ вроде бы большене вылезает, но Контакт так и остается заблокирован, хотя поля логин и пароль очистились.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Нет я специально у Вас это запросил так как присутствовал червь.

Обновления установили?

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Да. Обновления установила, кроме Оперы (я ей не пользуюсь). Новые логи прикрепляю.
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=710&systemid=2&sr=0&q="
    CHR - homepage: http://search.bearshare.net
    CHR - homepage: http://search.bearshare.net
    O4 - Startup: C:\Documents and Settings\Administrator.NOTEBOOK-COMPAQ\Start Menu\Programs\Startup\setup_9.0.0.722_31.03.2011_18-25.lnk =  File not found
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    [2012.11.27 02:12:37 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\VnLLFiUBHxE
    [2012.11.15 16:21:28 | 000,000,000 | R--D | C] -- C:\Documents and Settings\User\Application Data\4BB7A519
    [2012.11.15 14:52:42 | 000,000,000 | R--D | C] -- C:\Documents and Settings\User\Application Data\4BB7A2AB
    [2012.11.15 15:41:59 | 000,049,335 | ---- | M] () -- C:\Documents and Settings\User\Application Data\B4595F61a
    [2012.11.15 15:41:57 | 000,000,037 | ---- | M] () -- C:\Documents and Settings\User\Application Data\b4595fa3a
    [2012.10.22 00:18:40 | 000,002,855 | ---- | C] () -- C:\Documents and Settings\User\0.3334076819292544.PIF
    @Alternate Data Stream - 144 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC
    @Alternate Data Stream - 141 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



Давайте еще после этого парочку логов:

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Изменить параметры проверки";
  4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
  5. Подтвердите изменение настроек нажатием кнопки "ОК";
  6. Нажмите кнопку "Начать проверку";
  7. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

+

Как подготовить лог помощи OSAM (Online Solutions Autorun Manager)
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Prefs.js: "http://dts.search-results.com/sr?src=ffb&appid=710&systemid=2&sr=0&q=" removed from keyword.URL
Use Chrome's Settings page to change the HomePage.
Use Chrome's Settings page to change the HomePage.
C:\Documents and Settings\Administrator.NOTEBOOK-COMPAQ\Start Menu\Programs\Startup\setup_9.0.0.722_31.03.2011_18-25.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ deleted successfully.
C:\Documents and Settings\All Users\VnLLFiUBHxE\GOxeV6VMZSY folder moved successfully.
C:\Documents and Settings\All Users\VnLLFiUBHxE folder moved successfully.
C:\Documents and Settings\User\Application Data\4BB7A519 folder moved successfully.
C:\Documents and Settings\User\Application Data\4BB7A2AB folder moved successfully.
C:\Documents and Settings\User\Application Data\B4595F61a moved successfully.
C:\Documents and Settings\User\Application Data\b4595fa3a moved successfully.
C:\Documents and Settings\User\0.3334076819292544.PIF moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
Настройка протокола IP для Windows
Успешно сброшен кэш распознавателя DNS.
C:\Documents and Settings\User\Desktop\cmd.bat deleted successfully.
C:\Documents and Settings\User\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 247699 bytes
->Flash cache emptied: 2836 bytes
 
User: Administrator.NOTEBOOK-COMPAQ
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 215018 bytes
->FireFox cache emptied: 7033138 bytes
->Flash cache emptied: 41620 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User
->Temp folder emptied: 2938 bytes
->Temporary Internet Files folder emptied: 992107 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 497248053 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1239 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2402044 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 83181423 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 564,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11302012_132552

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 

Вложения

Последнее редактирование модератором:

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Вот еще osam
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
Как самочувствие системы?
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Вроде бы никаких сбоев не наблюдается. Правда долго открывалась флешка с рабочей программой. Подскажите за чем конкретно нужно понаблюдать?
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
(((((((((

Не удается войти.

Пожалуйста, проверьте правильность написания логина и пароля.
  • Возможно, нажата клавиша CAPS-lock?
  • Может быть у Вас включена неправильная раскладка? (русская или английская)
  • Попробуйте набрать свой пароль в текстовом редакторе и скопировать в графу «Пароль»
Если Вы всё внимательно проверили, но войти всё равно не удается, Вы можете нажать сюда.

Добавлено через 3 минуты 34 секунды
А может страница замениться подложным сайтом?
У меня сейчас
ВКонтакте © 2006-2012 EnglishРусскийУкраїнськавсе языки », раньше было написано ВКонтакте © 2006-2012 Русский
P.S.: Извините, если вопрос смешной.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,501
Реакции
5,658
Баллы
753
В командной строке наберите:

Код:
ping vk.com >> C:\ping.txt
нажмите Enter, файл C:\ping.txt прикрепите
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Мне нужно было зайти через кнопку пуск-выполнить-cmd и вставить код?
ping vk.com >> C:\ping.txt
 

serafina

Активный пользователь
Сообщения
13
Реакции
1
Баллы
303
Если все нужно было сделать так, то вот файл, который Вам нужен.
 

Вложения

  • 525 байт Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу