Alex.E 0 Опубликовано 3 января, 2013 Share Опубликовано 3 января, 2013 Здравствуйте. Случилось подхватить блокиратор Windows, который просил пополнить МТС номер через терминал, загружаясь до запуска Windows. Эту проблему удалось решить с помощью утилиты Kaspersky WindowsUnlocker. Загружал компьютер с помощью Kaspersky Rescue Disk. Потом производил разблокировку и сделал проверку на вирусы. Было найдено 10 Jawa Exploit'ов (названия, к сожалению не помню) и несколько Троянов - trojan-psw.win32.tepfer. Вирусы были удалены. Потом запускал Windows и на всякий случай, проходил проверку антивирусом Касперского. В итоге угроз не обнаружено. Но на данный момент компьютер заражен. Постоянно происходит модификация файла hosts. В него добавляются строчки: Раскрывающийся текст: 127.0.0.1 nezayti.ru nekontakt2.ru hellhead.ru anonymizer.ru xy4-anonymizer.ru unboo.ru 127.0.0.1 obhodilka.ru nemir.ru workandtalk.ru webvpn.org anonim.ttu.su websplatt.ru 127.0.0.1 o.vhodilka.ru timp.ru urlbl.ru dostupest.ru waitplay.ru antiblock.ru 127.0.0.1 pinun.ru anonim.do.am netdostupa.com anonimix.ru jelya.ru v.vhodilka.ru 127.0.0.1 ok-anonimaizer.ru spoolls.com neklassniki.ru dardan.ru vhodilka.ru dostyp.ru 127.0.0.1 adminimus.ru diazoom.ru webmurk.ru raskruty.ru cameleo.ru razblokirovatdostup.ru 37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com 37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru Чищу, они появляются вновь. Например, могут появиться, пока я набираю это сообщение. А также через раз в браузере появляется всплывающее окно: Помогите пожалуйста. Как побороть? Логи: virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 января, 2013 Share Опубликовано 3 января, 2013 выполните рекомендации из данной темы. http://virusinfo.info/showthread.php?t=3519 ссылку на закачанный туда архив приложите. cкачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Вместо лога Hijackthis требуются 2 лога RSIT. приложите. Проверьте компьютер утилитой TDSSkiller из данной статьи. http://support.kaspersky.ru/faq/?qid=208639606 Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях. Полученный лог из корня диска С приложите к новому сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Alex.E 0 Опубликовано 3 января, 2013 Автор Share Опубликовано 3 января, 2013 Файл AVZ Раскрывающийся текст: Файл сохранён как 130103_190717_virusinfo_files_ALEKSANDR-PK_50e5d6e55d53d.zip Размер файла 10965024 MD5 01b32897a082687b5aa8abc57caaf328 Malwarebytes' Anti-Malware MBAM_log_2013_01_04__02_05_00_.txt RSIT info.txt log.txt TDSSkiller TDSSKiller.2.7.34.0_04.01.2013_01.15.13_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 3 января, 2013 Share Опубликовано 3 января, 2013 что за задания? C:\Windows\tasks\At1.job C:\Windows\tasks\At2.job C:\Windows\tasks\At3.job C:\Windows\tasks\At4.job автокарантин - чистый. Вам знаком FileCash Архиватор? если нет - удалите в MBAM Обнаруженные папки: 1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор (Adware.FileCash) -> Действие не было предпринято. Обнаруженные файлы: 8 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\FileCash Архиватор.lnk (Adware.FileCash) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Uninstall.lnk (Adware.FileCash) -> Действие не было предпринято. C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Website.lnk (Adware.FileCash) -> Действие не было предпринято. Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log. Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows) Перезагрузите компьютер. Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены. хост меняется? окна появляются? Цитата Ссылка на сообщение Поделиться на другие сайты
Alex.E 0 Опубликовано 4 января, 2013 Автор Share Опубликовано 4 января, 2013 (изменено) что за задания? Не знаю, что это. Удалить? Вам знаком FileCash Архиватор?если нет - удалите в MBAM Да. Но также удалил. Выполните в AVZ скрипт из файла... Сделано. хост меняется?окна появляются? После этих действий изменений и окон пока не было. Но windows заметно "тормозит". Быть может дело в "C:\Windows\tasks\At1.job" ? upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше. upd2: Нагуглил похожую проблему про At1.job http://forum.ru-board.com/topic.cgi?forum=...mp;start=320#14 Изменено 4 января, 2013 пользователем Alex.E Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 января, 2013 Share Опубликовано 4 января, 2013 Не знаю, что это. Удалить? посмотрите в свойствах, какой файл запускается. по логу AVZ там что-то неопасное... но что - я не вижу. Скачайте ComboFix здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1 upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше. сделайте логи по правилам в такой момент - только ничего не правьте. Цитата Ссылка на сообщение Поделиться на другие сайты
Alex.E 0 Опубликовано 4 января, 2013 Автор Share Опубликовано 4 января, 2013 После испоользования Combofix файлы "C:\Windows\tasks\At*.job" исчезли. Файл hosts заменился на чистый. Лог ComboFix'а: ComboFix.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 4 января, 2013 Share Опубликовано 4 января, 2013 понаблюдайте. через день-два отпишитесь... Цитата Ссылка на сообщение Поделиться на другие сайты
Alex.E 0 Опубликовано 11 января, 2013 Автор Share Опубликовано 11 января, 2013 Здравствуйте. Проблема не повторяется. Большое спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 января, 2013 Share Опубликовано 11 января, 2013 Удалите ComboFix Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.