Перейти к содержимому


Фотография
- - - - -

Блокиратор windows, браузера и модификация hosts


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • 5 сообщений

Отправлено 03 Январь 2013 - 22:28

Здравствуйте.

Случилось подхватить блокиратор Windows, который просил пополнить МТС номер через терминал, загружаясь до запуска Windows.

Эту проблему удалось решить с помощью утилиты Kaspersky WindowsUnlocker. Загружал компьютер с помощью Kaspersky Rescue Disk. Потом производил разблокировку и сделал проверку на вирусы. Было найдено 10 Jawa Exploit'ов (названия, к сожалению не помню) и несколько Троянов - trojan-psw.win32.tepfer.

Вирусы были удалены.

Потом запускал Windows и на всякий случай, проходил проверку антивирусом Касперского.

В итоге угроз не обнаружено.


Но на данный момент компьютер заражен. Постоянно происходит модификация файла hosts. В него добавляются строчки:

Раскрывающийся текст


Чищу, они появляются вновь. Например, могут появиться, пока я набираю это сообщение.

А также через раз в браузере появляется всплывающее окно:

Image_000.jpg


Помогите пожалуйста. Как побороть?

Логи:

Прикрепленные файлы


  • 0

#2 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • 5 391 сообщений

Награды

           

Отправлено 03 Январь 2013 - 22:43

выполните рекомендации из данной темы.
http://virusinfo.inf...read.php?t=3519
ссылку на закачанный туда архив приложите.

cкачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Обновите базы.
После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Вместо лога Hijackthis требуются 2 лога RSIT. приложите.

Проверьте компьютер утилитой TDSSkiller из данной статьи.
http://support.kaspe.../?qid=208639606
Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.
Полученный лог из корня диска С приложите к новому сообщению.
  • 0

#3 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • 5 сообщений

Отправлено 04 Январь 2013 - 01:11

Файл AVZ

Раскрывающийся текст



Malwarebytes' Anti-Malware

Прикрепленный файл  MBAM_log_2013_01_04__02_05_00_.txt   4,4К   Количество загрузок: 41


RSIT

Прикрепленный файл  info.txt   29,74К   Количество загрузок: 60
Прикрепленный файл  log.txt   38К   Количество загрузок: 37



TDSSkiller

Прикрепленные файлы


  • 0

#4 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • 5 391 сообщений

Награды

           

Отправлено 04 Январь 2013 - 03:05

что за задания?
C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job
C:\Windows\tasks\At3.job
C:\Windows\tasks\At4.job

автокарантин - чистый.

Вам знаком FileCash Архиватор?
если нет - удалите в MBAM
Обнаруженные папки:  1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор (Adware.FileCash) -> Действие не было предпринято.

Обнаруженные файлы:  8
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\FileCash Архиватор.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Uninstall.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Website.lnk (Adware.FileCash) -> Действие не было предпринято.

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

хост меняется?
окна появляются?
  • 0

#5 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • 5 сообщений

Отправлено 04 Январь 2013 - 12:29

что за задания?


Не знаю, что это. Удалить?

Вам знаком FileCash Архиватор?
если нет - удалите в MBAM

Да. Но также удалил.

Выполните в AVZ скрипт из файла...


Сделано.

хост меняется?
окна появляются?


После этих действий изменений и окон пока не было.
Но windows заметно "тормозит". Быть может дело в "C:\Windows\tasks\At1.job" ?

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.


upd2: Нагуглил похожую проблему про At1.job

http://forum.ru-boar...mp;start=320#14

Сообщение отредактировал Alex.E: 04 Январь 2013 - 13:13

  • 0

#6 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • 5 391 сообщений

Награды

           

Отправлено 04 Январь 2013 - 13:14

Не знаю, что это. Удалить?

посмотрите в свойствах, какой файл запускается.
по логу AVZ там что-то неопасное... но что - я не вижу.




Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/f...amp;postcount=1

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.


сделайте логи по правилам в такой момент - только ничего не правьте.
  • 0

#7 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • 5 сообщений

Отправлено 04 Январь 2013 - 21:52

После испоользования Combofix файлы "C:\Windows\tasks\At*.job" исчезли. Файл hosts заменился на чистый.

Лог ComboFix'а:

Прикрепленные файлы

  • Прикрепленный файл  ComboFix.zip   5,17К   Количество загрузок: 40

  • 0

#8 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • 5 391 сообщений

Награды

           

Отправлено 05 Январь 2013 - 01:36

понаблюдайте.
через день-два отпишитесь...
  • 0

#9 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • 5 сообщений

Отправлено 11 Январь 2013 - 14:31

Здравствуйте.

Проблема не повторяется.

Большое спасибо!
  • 0

#10 OFF   thyrex

thyrex

    Странствующий хэлпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • 3 128 сообщений

Награды

        

Отправлено 11 Январь 2013 - 21:04

Удалите ComboFix
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных