Перейти к содержимому


Фотография
- - - - -

Блокиратор windows, браузера и модификация hosts

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 9

#1 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 03 Январь 2013 - 21:28

Здравствуйте.

Случилось подхватить блокиратор Windows, который просил пополнить МТС номер через терминал, загружаясь до запуска Windows.

Эту проблему удалось решить с помощью утилиты Kaspersky WindowsUnlocker. Загружал компьютер с помощью Kaspersky Rescue Disk. Потом производил разблокировку и сделал проверку на вирусы. Было найдено 10 Jawa Exploit'ов (названия, к сожалению не помню) и несколько Троянов - trojan-psw.win32.tepfer.

Вирусы были удалены.

Потом запускал Windows и на всякий случай, проходил проверку антивирусом Касперского.

В итоге угроз не обнаружено.


Но на данный момент компьютер заражен. Постоянно происходит модификация файла hosts. В него добавляются строчки:

Раскрывающийся текст


Чищу, они появляются вновь. Например, могут появиться, пока я набираю это сообщение.

А также через раз в браузере появляется всплывающее окно:

Прикрепленный файл  Image_000.jpg   143,09К   скачиваний 134


Помогите пожалуйста. Как побороть?

Логи:

Прикрепленные файлы


  • 0

#2 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Совет фан-клуба
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 018

Награды

           

Отправлено 03 Январь 2013 - 21:43

выполните рекомендации из данной темы.
http://virusinfo.inf...read.php?t=3519
ссылку на закачанный туда архив приложите.

cкачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Обновите базы.
После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Вместо лога Hijackthis требуются 2 лога RSIT. приложите.

Проверьте компьютер утилитой TDSSkiller из данной статьи.
http://support.kaspe.../?qid=208639606
Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.
Полученный лог из корня диска С приложите к новому сообщению.
  • 0

#3 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 04 Январь 2013 - 00:11

Файл AVZ

Раскрывающийся текст



Malwarebytes' Anti-Malware

Прикрепленный файл  MBAM_log_2013_01_04__02_05_00_.txt   4,4К   скачиваний 59


RSIT

Прикрепленный файл  info.txt   29,74К   скачиваний 120
Прикрепленный файл  log.txt   38К   скачиваний 59



TDSSkiller

Прикрепленные файлы


  • 0

#4 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Совет фан-клуба
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 018

Награды

           

Отправлено 04 Январь 2013 - 02:05

что за задания?
C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job
C:\Windows\tasks\At3.job
C:\Windows\tasks\At4.job

автокарантин - чистый.

Вам знаком FileCash Архиватор?
если нет - удалите в MBAM
Обнаруженные папки:  1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор (Adware.FileCash) -> Действие не было предпринято.

Обнаруженные файлы:  8
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\FileCash Архиватор.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Uninstall.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Website.lnk (Adware.FileCash) -> Действие не было предпринято.

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

хост меняется?
окна появляются?
  • 0

#5 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 04 Январь 2013 - 11:29

что за задания?


Не знаю, что это. Удалить?

Вам знаком FileCash Архиватор?
если нет - удалите в MBAM

Да. Но также удалил.

Выполните в AVZ скрипт из файла...


Сделано.

хост меняется?
окна появляются?


После этих действий изменений и окон пока не было.
Но windows заметно "тормозит". Быть может дело в "C:\Windows\tasks\At1.job" ?

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.


upd2: Нагуглил похожую проблему про At1.job

http://forum.ru-boar...mp;start=320#14

Сообщение отредактировал Alex.E: 04 Январь 2013 - 12:13

  • 0

#6 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Совет фан-клуба
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 018

Награды

           

Отправлено 04 Январь 2013 - 12:14

Не знаю, что это. Удалить?

посмотрите в свойствах, какой файл запускается.
по логу AVZ там что-то неопасное... но что - я не вижу.




Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/f...amp;postcount=1

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.


сделайте логи по правилам в такой момент - только ничего не правьте.
  • 0

#7 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 04 Январь 2013 - 20:52

После испоользования Combofix файлы "C:\Windows\tasks\At*.job" исчезли. Файл hosts заменился на чистый.

Лог ComboFix'а:

Прикрепленные файлы


  • 0

#8 OFF   Roman_Five

Roman_Five

    Эльф-снайпер

  • Совет фан-клуба
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 7 018

Награды

           

Отправлено 05 Январь 2013 - 00:36

понаблюдайте.
через день-два отпишитесь...
  • 0

#9 OFF   Alex.E

Alex.E

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 11 Январь 2013 - 13:31

Здравствуйте.

Проблема не повторяется.

Большое спасибо!
  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 8 673

Награды

        

Отправлено 11 Январь 2013 - 20:04

Удалите ComboFix
  • 0
Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

[spoiler=Антивирусная помощь]Ждете помощи? Выполните Правила оказания помощи
Как выполнить скрипт в AVZ? Что значит "пофиксить в HiJack"?
KAV Rescue Disc - Вирусы и решения - Утилиты для борьбы с вирусами

Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных