блокировка VK, деградация работы браузера и всплывающие окна

[Nickey]

Здравствуйте!

Вобщем, примерно вот так всё случилось:

Искал информацию в Инете, кликал разные ссылки в гугле,нашёл что нужно, перешел по ссылке и тут …комп вдруг сам ребутнулся. Я не придал значения до момента когда решил зайти вконтакт.

 

И вот такая ерунда вылезла:

 

"Подтверждение принадлежности аккаунта “В Контакте”

Приносим свои извинения за доставленные неудобства, но к сожалению, подтверждение принадлежности аккаунта с помощью мобильного телефона является необходимой мерой безопасности." и бла бла бла.

При клике на подтверждение вылазит страничка на которой есть поле ввода мобилы но нет поля ввода кода,который эта *цензура* и пытается впарить за платную смс с баснословной стоимостью,на номер 3381 помоему.

 

Так же обнаружился всплывающий баннер для обновления безопасности браузера (само собой так же предлагается орплатить эту самую "безопасность"),что на GH,Opera 11, что на Mozila FF.

Такого содержания:

В системе обнаружен вирус. Использование интернета нежелательно.

Браузер зафиксировал попытки внесения изменений в его работу.

Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах

рекомендуем немедленно установить последнее обновление безопасности браузера.

Trojan.Win32.Inject.aohy

– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ

Для безопасного продолжения работы необходимо обновить браузер

KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)

KB1971384 – Обновление баз фишинговых сайтов (12.11.2010).

 

Так же наметилась общая деградация связи, постоянные подвисания браузера и тд...многие вообше не хочет сайты грузить или открывает их html кодом.

 

Гуглил и искал информацию,предлагали бороться через:

1)windows\system32\drivers\etc\hosts (без расширения)

там всё чисто,ничего лишнего.

2)Проверял своим Касперским 10 с последними базами - ничего.

3)Проверял Dr.Web CureiT с сайта производителя и ещё 1 версии - ничего.

 

Очень надеюсь на вашу помощь.

Вот, выполнил правила:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Пофиксите в HijackThis:

R3 - URLSearchHook: (no name) -  - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\system32\cgizvhn.dll

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\WIDCOMM\Bluetooth Software\btkeyind.dll','');
QuarantineFile('C:\WINDOWS\system32\btmmhook.dll','');
QuarantineFile('C:\WINDOWS\system32\cgizvhn.dll','');
DeleteFile('C:\WINDOWS\system32\cgizvhn.dll');
DelAutorunByFileName('C:\WINDOWS\system32\cgizvhn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\cgizvhn.dll');
BC_Activate;
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

 

2)Проверял своим Касперским 10 с последними базами - ничего.

Вашего зверька Антивирус Касперского знал ещё 23 марта. ничего не путаете?

Изменено 28 марта, 2011 пользователем Roman_Five

[Nickey]

Роман, чудесным образом после того как запостил первый пост и выполнил логи по правилам-всё нормально заработало! Точнее как, запостил, после выключил ноут, через некоторое время включаю-захожу на сайт в надеже узреть ваш ответ, смотрю все быстро загружается и никаких проблем) неужели после выполнения логов по правилам вирь умер?... тем не менее, все что вы написали во втором посте-выполнил, вот новые логи по правилам и лог МВАМ:

 

Карантин так отправил, только вот сомнения есть что все сделал правильно...

в тип запроса отметил "запрос на исследование вредоносного файла"

в подробном описании проблемы- virus

и прекрепил архив Quarantine.zip (сейчас попробовал открыть, почему то пароле не запрашивает..хотя по идее же должен?(virus))

ну и указал мыло само-собой.

Вашего зверька Антивирус Касперского знал ещё 23 марта. ничего не путаете?

странно...не припомню чтоб каспер ругался

virusinfo_syscure.zip

hijackthis.log

mbam_log_2011_03_28__23_02_24_.txt

virusinfo_syscheck.zip

Изменено 28 марта, 2011 пользователем Nickey

[Roman_Five]

Удалите в MBAM:

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
Заражённые файлы:
c:\documents and settings\User\рабочий стол\касперский\КЛЮЧ.exe (Trojan.Agent) -> No action taken.

 

деинсталлируйте MBAM

 

в логах всё ок.

[Nickey]

Роман, большое спасибо Вам за помощь, все ваши указания выполнил, все вроде бы ОК.

Единственное 1 вопрос - перед тем как делать логи, отключал восстановление системы, теперь следует его снова включить?

[SLASH_id]

Можете включить а можете и не включать. На самом деле подавляющее количество пользователей никогда не пользуются автоматическим восстановлением, более того, даже понятие не имеют зачем оно и как им пользоваться. Таким образом примите решение самостоятельно.

[Nickey]

SLASH_id всё ясно.

Еще раз-всем спасибо за помощь, всего вам самого хорошего!

[Roman_Five]

теперь следует его снова включить?

моя рекомендация - да.

[Nickey]

моя рекомендация - да.

спасибо.

 

Полученный ответ сообщите в этой теме.

сообщаю)

пришли 2 письма, как ни странно совершенно противоположного характера:

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского , рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию:

https://my.kaspersky.com/ru/support/viruslab.

Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов.

Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского , Вы можете воспользоваться формой : http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию.

Запросы на проверку файлов, отправленные не с перечисленных выше форм , будут обработаны в порядке очереди.

 

btkeyind.dll,

btmmhook.dll

 

Файлы в процессе обработки.

 

cgizvhn.dll - Trojan.Win32.Zapchast.fdq

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского

 

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

 

Hello,

 

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

 

If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:

https://my.kaspersky.com/en/support/viruslab .

This option is available for the Licensed Kaspersky Lab customers only.

If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en.

This link sends your file to the Virus Lab for inspection.

All the files submitted for scanning from unregistered addresses are verified in the common queue order.

 

btkeyind.dll,

btmmhook.dll

 

These files are in process.

 

cgizvhn.dll - Trojan.Win32.Zapchast.fdq

 

At the moment this file is detected with the latest antivirus bases.

 

Best Regards, Kaspersky Lab

 

10/1, 1st Volokolamsky Proezd, Moscow, 123060, Russia

Tel./Fax: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com

 

 

>> From: cnv25@mail.ru

>> Sent: 28.03.2011 18:38:54

>> To: newvirus@kaspersky.com

>> Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]

>>

>>

>> LANG: ru

>> email: cnv25@mail.ru

>>

>> description:

>> virus

>>

>> Загруженные файлы:

>> Qurantine.zip

 

и через 40 минут откуда-то взялось еще одно, противоречащее)

 

Здравствуйте,

 

В присланном Вами файле не найдено ничего вредоносного.

 

-------------------------------------------

С наилучшими пожеланиями,

Фирсов Павел.

Вирусный аналитик,

ЗАО "Лаборатория Касперского"

_______________________________

http://www.kaspersky.ru/virusscanner - oнлайн тестирование самыми свежими KAV-базами.

http://www.kaspersky.com/helpdesk.html - техническая поддержка

_______________

Тел.: +7(095)797-8700 Факс: +7 (495) 948-43-31

newvirus@kaspersky.com

http://www.kaspersky.com http://www.viruslist.com

 

>From: cnv25@mail.ru

>Sent: 28.03.2011 22:39:00

>To: "New Virus" <newvirus@kaspersky.com>

>Subject: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [P:1]

>

>

> LANG: ru

> email: cnv25@mail.ru

>

> description:

> virus

>

> Загруженные файлы:

> Qurantine.zip

>

>

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700

http://www.kaspersky.ru http://www.viruslist.ru

 

само-собой это 2 ответа на 1 и тот же запрос...

Изменено 29 марта, 2011 пользователем Nickey

[Roman_Five]

само-собой это 2 ответа на 1 и тот же запрос...

нет.

сравните время отправки карантинов

>> Sent: 28.03.2011 18:38:54

>Sent: 28.03.2011 22:39:00

[Nickey]

посылал только 1 раз, маразма у меня, покамест, нет)

да и даже теоретически, как я мог отослать запрос в 28.03.2011 18:38:54, если ваш пост, с данным указанием, был опубликован 28.03.2011, 21:52

странно...

 

ну да ладно, главное проблема исчерапана.

Сообщение от модератора ТроПа

Часть сообщений выделена в отдельную тему

Изменено 7 апреля, 2011 пользователем ТроПа