• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Закрыт доступ "Вконтакте"

Статус
В этой теме нельзя размещать новые ответы.

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
Здравствуйте.
Помогите пожалуйста.
Сейчас Вконатаке пишет о попытке взлома и опять просит ввести свой номер. До Вашего ответа не рискую.
Несколько дней назад сайт написал о том, что мой аккаунт забанен, по стандартным причинам - рассылка порно. Проблему решила чистка файла "hosts".
Кроме этого, при каждом запуске компьютера, система просит принять решение о запуске файлов
igfxtray.exe
hkcmd.exe
igfxpers.exe
 

Вложения

  • info.txt
    9.4 KB · Просмотры: 1
  • log.txt
    23.3 KB · Просмотры: 4
  • KL_syscure.zip
    25.2 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Людмила, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
добавляю файлы.
Сейчас папка hosts пустая
 

Вложения

  • virusinfo_syscheck.zip
    23.4 KB · Просмотры: 1
  • virusinfo_syscure.zip
    20.7 KB · Просмотры: 3
Последнее редактирование модератором:

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
igfxtray.exe
hkcmd.exe
igfxpers.exe
Файлы от драйвера видеокарты на чипе Intel.


Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   BackupRegKey('HKEY_LOCAL_MACHINE',
                   'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                     'hosts_old');
if not IsWOW64
then {если х86}
 RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                      'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                       'DataBasePath',
                        'REG_EXPAND_SZ',
                         '%SystemRoot%\System32\drivers\etc')
else {если х64}
  RegKeyParamWrite('HKEY_LOCAL_MACHINE',
                      'SYSTEM\CurrentControlSet\services\Tcpip\Parameters',
                       'DataBasePath',
                        'REG_EXPAND_SZ',
                         '%SystemRoot%\SysWOW64\drivers\etc');
 ExecuteRepair(13);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(false);
end.


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
Спасибо! сканировала. Отчет
 

Вложения

  • сканирование.txt
    2.4 KB · Просмотры: 3

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Повторите сканирование в MBAM и удалите только следующее:

Код:
C:\Program Files\2\instil (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.
C:\Program Files\2\instil\datas.txt (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\2\instil\bannas.vbs (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\2\instil\winbu.bat (Trojan.Agent) -> Действие не было предпринято.

Затем подготовьте еще 2 таких лога:

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS



  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
После повторного сканирования результат по вирусам оказался нулевой (отчет в аттаче)
Все ренее найденые файлы, внесены программой в черный список (PrtSc)
 

Вложения

  • сканирование2.txt
    1.1 KB · Просмотры: 2
  • ЧС.jpg
    ЧС.jpg
    44.3 KB · Просмотры: 7

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Ок тогда делаем так:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\2', '*.*', true, '', 0, 0);
 QuarantineFile('C:\WINDOWS\system32\drivers\etc\hоsts','');
 DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts');
 DeleteFileMask('C:\Program Files\2', '*.*', true);
 DeleteDirectory('C:\Program Files\2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Затем обновляем систему, скачайте и установите Пакет сетевой установки пакета обновления 3 (SP3) для ОС Windows XP может потребоваться повторная активация Windows

так же обновите до последней версии Internet Explorer

Затем готовим 2 лога из собщения №6

http://safezone.cc/forum/showpost.php?p=128704&postcount=6
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
мммм, кажется, мы уперлись в стену. Мне ноут подарили и там
Код:
Windows
сотоит ломаный
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
и дырявый, к сожалению, даже если мы сейчас все удалим, зловред может вернуться в любой момент, используя извстные уязвимости.

Правила форума запрещают обсуждение способов взлома, поэтому данный момент на Вашей совести и ответственности.
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
Спасибо. Значит, надо решать вопрос с добропорядочностью )))) Как-то же можно купить и поставить лицензию?
Наверно, тема закрыта, да?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Тема не будет закрыта пока мы Вас не вылечим, а вот гарантии того, что Вы снова в самом ближайшем времени не заразитесь мы никаких уже дать не сможем.

PS Это я не от себя мы, а ото всей ассоциации))

Как-то же можно купить и поставить лицензию?

http://windows.microsoft.com/ru-RU/windows/buy
http://allsoft.ru/search/?collectio...utm_term=ms&utm_content=ms_win&sort=relevance


Продолжаем лечение?
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
о-да! Что же дальше делать? Спасибо
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Все, кроме обновления из постов 6 и 8 и кроме того что уже сделали
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
Security Check by glax24 version 0.1.3.34 beta
WebSite: www.safezone.cc
DataLog 21.11.2012 00:58:10
Program directory: C:\Documents and Settings\Евгений\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.7
__________________________________________________

WIN_XP (x86) Lan:0419
Service Pack 2 Внимание! Скачать обновления
Internet Explorer 6.0.2900.2180 Внимание! Скачать обновления
-------------Windows------------------------------
Уведомлять о загрузке и установке обновлений
Автоматическое обновление - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 5.2
Антивирус устарел
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiVirusFirewallInstall-------------
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Reader XI v.11.0.00
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
Opera 12.10 v.12.10.1652
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.10.1652.0
-------------EndLog-------------------------------
 

Вложения

  • EDVVNBA8Z2BTACL_2012-11-21_00-46-19.rar
    253.1 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Internet Explorer 6.0.2900.2180 Внимание! Скачать обновления
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления

- эти обновления поставьте, активацию они не потребуют.

ESET Smart Security 5.2
Антивирус устарел

Если на ИСЕТ лицензии тоже нет - деинсталлируйте его и поставьте любой другой антивирус, можно даже бесплатный.

Скрипт из поста 8 выполнили?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,502
Реакции
5,662
Баллы
753
Сделайте контрольный лог AVZ virusinfo_syscheck.zip

Как самочувствие системы?
 

Людмила

Активный пользователь
Сообщения
11
Реакции
0
Баллы
301
лог
 

Вложения

  • virusinfo_syscheck.zip
    21.8 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу