Решена Заблокирован аккаунт в Контакте (clubrelaxxxx.com/gibdd/)

Статус
В этой теме нельзя размещать новые ответы.

serafina

Новый пользователь
Сообщения
13
Реакции
1
Добрый вечер!
Два дня назад начала вылезать ссылка clubrelaxxxx.com/gibdd/ притом на всех страницах браузера, даже при клике на любое свободное место.
Заблокированы аккаунты в Контакте (мой и мужа). После каждой проверки антивирус выдает такое сообщение "Модифицирован файл hosts". Все попытки вычистить эту "заразу" венчаются провалом. Два дня бьюсь с этой проблемой.
Буду премного благодарна за помощь.
 

Вложения

  • virusinfo_syscure.zip
    17.9 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    18.6 KB · Просмотры: 0
  • log.txt
    29.6 KB · Просмотры: 2
  • info.txt
    50.7 KB · Просмотры: 0
Приветствую serafina, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\User\Application Data\4BB7A519', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Documents and Settings\User\Application Data\4BB7A2AB', '*.*', true, '', 0, 0);
 QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\60421406FdOh','');
 QuarantineFile('C:\Documents and Settings\User\Application Data\190.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\190.exe');
 DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\60421406FdOh');
 DeleteFileMask('C:\Documents and Settings\User\Application Data\4BB7A519', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\User\Application Data\4BB7A519');
 DeleteFileMask('C:\Documents and Settings\User\Application Data\4BB7A2AB', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\User\Application Data\4BB7A2AB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','60421875');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O1 - Hosts: 46.251.249.137 my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru www.odnoklassniki.ru vk.com m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 mc.yandex.ru admulti.com counter.spylog.com counter.rambler.ru www.google-analytics.com
O4 - HKLM\..\Run: [60421875] cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\60421406FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве



  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 
Спасибо за ответ.
Вот SecurityCheck.txt и новый комлект логов

Код:
Security Check by glax24 version 0.1.5.41 beta
WebSite: [url]www.safezone.cc[/url]
DataLog 30.11.2012 09:47:05
Program directory: C:\Documents and Settings\User\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.1
__________________________________________________

WIN_XP (x86) Lan:0409
Service Pack 3
Internet Explorer 8.0
-------------Windows------------------------------
Notify of download and installation
Date install updates: 2012-11-14 16:53:25
Automatic Updates (wuauserv) - The service is running
Security Center (wscsvc) - The service is running
-------------Antivirus_WMI------------------------
Doctor Web Anti-Virus
Antivirus up to date!
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
Dr.Web anti-virus for Windows 6.0 (x86) v.6.00.0.10201
-------------OtherUtilities-----------------------
CCleaner v.3.21
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 [color=red][b]Warning! [url=http://www.java.com/en/download/manual_v6.jsp]Download UpDate[/url][/b][/color]
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 [color=red][b]Warning! [url=http://get.adobe.com/flashplayer/]Download UpDate[/url][/b][/color]
Adobe Flash Player 11 Plugin v.11.5.502.110
Adobe Reader 9.5.1 - Russian v.9.5.1 [color=red][b]Warning! [url=http://get.adobe.com/reader/otherversions]Download UpDate[/url][/b][/color]
-------------Browser------------------------------
Mozilla Firefox 17.0 (x86 ru) v.17.0
Opera 11.00 v.11.00.1156 [color=red][b]Warning! [url=http://www.opera.com/browser/]Download UpDate[/url][/b][/color]
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.17.0.0.4706
-------------EndLog-------------------------------
 

Вложения

  • mbam-log-2012-11-30 (09-41-49).txt
    6.1 KB · Просмотры: 1
  • info.txt
    50.7 KB · Просмотры: 0
  • log.txt
    29.6 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    17.6 KB · Просмотры: 1
  • virusinfo_syscure.zip
    17.1 KB · Просмотры: 1
Последнее редактирование модератором:
Логи RSIT старые прикрепили.

Пройдите по ссылкам из Вашего поста и закройте уязвимости (Java и Adobe Reader перед установкой новой версии нужно деинсталлировать)


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\User\Application Data\Microsoft\', '*.exe', false, '', 0, 0);
 QuarantineFileF('C:\Recycle.Bin', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\dd2\', '*.*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\insta2\', '*.*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\User\Application Data\Microsoft\198.exe','');
 QuarantineFile('C:\Documents and Settings\User\0.3334076819292544.exe','');
 DeleteFile('C:\Documents and Settings\User\Application Data\Microsoft\198.exe');
 DeleteFile('C:\Documents and Settings\User\0.3334076819292544.exe');
 DeleteFileMask('C:\Recycle.Bin', '*.*', true);
 DeleteDirectory('C:\Recycle.Bin');
 DeleteFileMask('C:\Program Files\dd2\', '*.*', true);
 DeleteDirectory('C:\Program Files\dd2\');
 DeleteFileMask('C:\Program Files\insta2\', '*.*', true);
 DeleteDirectory('C:\Program Files\insta2\');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 
С добрым утром!
Я этот архив послала сразу (по форме).
Еще раз послать?
 
После выполнения нового скрипта в AVZ будет сформирован новый архив.
 
Архив послала по форме. После выполнения скрипта AVZ выдал сообщение, что заражение компьютера произошло через автоматический запуск программ на съемных носителях и спросил отключить ли автозапуск. Я нажала отключить. У меня свои родные флешки (чужие не использовала), рабочие, на которых крякнутые 1С, не эти ли программы антивирус расценил как вирус?

Добавлено через 15 минут 8 секунд
clubrelaxxxx.com/gibdd/ вроде бы большене вылезает, но Контакт так и остается заблокирован, хотя поля логин и пароль очистились.
 
Нет я специально у Вас это запросил так как присутствовал червь.

Обновления установили?

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 
Да. Обновления установила, кроме Оперы (я ей не пользуюсь). Новые логи прикрепляю.
 

Вложения

  • OTL.Txt
    198.8 KB · Просмотры: 1
  • Extras.Txt
    63.4 KB · Просмотры: 1
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=710&systemid=2&sr=0&q="
    CHR - homepage: http://search.bearshare.net
    CHR - homepage: http://search.bearshare.net
    O4 - Startup: C:\Documents and Settings\Administrator.NOTEBOOK-COMPAQ\Start Menu\Programs\Startup\setup_9.0.0.722_31.03.2011_18-25.lnk =  File not found
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    [2012.11.27 02:12:37 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\VnLLFiUBHxE
    [2012.11.15 16:21:28 | 000,000,000 | R--D | C] -- C:\Documents and Settings\User\Application Data\4BB7A519
    [2012.11.15 14:52:42 | 000,000,000 | R--D | C] -- C:\Documents and Settings\User\Application Data\4BB7A2AB
    [2012.11.15 15:41:59 | 000,049,335 | ---- | M] () -- C:\Documents and Settings\User\Application Data\B4595F61a
    [2012.11.15 15:41:57 | 000,000,037 | ---- | M] () -- C:\Documents and Settings\User\Application Data\b4595fa3a
    [2012.10.22 00:18:40 | 000,002,855 | ---- | C] () -- C:\Documents and Settings\User\0.3334076819292544.PIF
    @Alternate Data Stream - 144 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC
    @Alternate Data Stream - 141 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A
    :Services
    
    :Files
    
    ipconfig /flushdns /c
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.



Давайте еще после этого парочку логов:

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe;
  3. Нажмите кнопку "Изменить параметры проверки";
  4. Установите все галочки, кроме "Объекты для проверки" - "Загруженные модули";
  5. Подтвердите изменение настроек нажатием кнопки "ОК";
  6. Нажмите кнопку "Начать проверку";
  7. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  8. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  9. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  10. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  11. Самостоятельно без указания консультанта ничего не не удаляйте!!!
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

+

Как подготовить лог помощи OSAM (Online Solutions Autorun Manager)
 
Код:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Prefs.js: "http://dts.search-results.com/sr?src=ffb&appid=710&systemid=2&sr=0&q=" removed from keyword.URL
Use Chrome's Settings page to change the HomePage.
Use Chrome's Settings page to change the HomePage.
C:\Documents and Settings\Administrator.NOTEBOOK-COMPAQ\Start Menu\Programs\Startup\setup_9.0.0.722_31.03.2011_18-25.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ deleted successfully.
C:\Documents and Settings\All Users\VnLLFiUBHxE\GOxeV6VMZSY folder moved successfully.
C:\Documents and Settings\All Users\VnLLFiUBHxE folder moved successfully.
C:\Documents and Settings\User\Application Data\4BB7A519 folder moved successfully.
C:\Documents and Settings\User\Application Data\4BB7A2AB folder moved successfully.
C:\Documents and Settings\User\Application Data\B4595F61a moved successfully.
C:\Documents and Settings\User\Application Data\b4595fa3a moved successfully.
C:\Documents and Settings\User\0.3334076819292544.PIF moved successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
[color=#A23BEC]< ipconfig /flushdns /c >[/color]
Настройка протокола IP для Windows
Успешно сброшен кэш распознавателя DNS.
C:\Documents and Settings\User\Desktop\cmd.bat deleted successfully.
C:\Documents and Settings\User\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 247699 bytes
->Flash cache emptied: 2836 bytes
 
User: Administrator.NOTEBOOK-COMPAQ
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 215018 bytes
->FireFox cache emptied: 7033138 bytes
->Flash cache emptied: 41620 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41620 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: User
->Temp folder emptied: 2938 bytes
->Temporary Internet Files folder emptied: 992107 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 497248053 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1239 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2402044 bytes
%systemroot%\System32 .tmp files removed: 2577 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 83181423 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 564,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11302012_132552

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
 

Вложения

  • TDSSKiller.2.8.15.0_30.11.2012_13.40.26_log.txt
    102 KB · Просмотры: 1
Последнее редактирование модератором:
Вот еще osam
 

Вложения

  • osam.rar
    6.3 KB · Просмотры: 2
Как самочувствие системы?
 
Вроде бы никаких сбоев не наблюдается. Правда долго открывалась флешка с рабочей программой. Подскажите за чем конкретно нужно понаблюдать?
 
(((((((((

Не удается войти.

Пожалуйста, проверьте правильность написания логина и пароля.
  • Возможно, нажата клавиша CAPS-lock?
  • Может быть у Вас включена неправильная раскладка? (русская или английская)
  • Попробуйте набрать свой пароль в текстовом редакторе и скопировать в графу «Пароль»
Если Вы всё внимательно проверили, но войти всё равно не удается, Вы можете нажать сюда.

Добавлено через 3 минуты 34 секунды
А может страница замениться подложным сайтом?
У меня сейчас
ВКонтакте © 2006-2012 EnglishРусскийУкраїнськавсе языки », раньше было написано ВКонтакте © 2006-2012 Русский
P.S.: Извините, если вопрос смешной.
 
В командной строке наберите:

Код:
ping vk.com >> C:\ping.txt

нажмите Enter, файл C:\ping.txt прикрепите
 
Мне нужно было зайти через кнопку пуск-выполнить-cmd и вставить код?
ping vk.com >> C:\ping.txt
 
Если все нужно было сделать так, то вот файл, который Вам нужен.
 

Вложения

  • ping.txt
    525 байт · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу