Проверьте логи плиз... блокируются сайты..

[SEcrash63]

НЕдавно хотел зайти в контакт.. а он мне выдает введите номер телефона(пройдите валидацию)... ввожу.. пишет ваш телефон не поддерживается... думал что-то у них.. попробывал зайти в однокласники -такаяже фигня... на другом компе со своих учеток легко захожу.. окрыл хайджек, обнаружил следующие строчки

Раскрывающийся текст:

O1 - Hosts: 193.218.156.153 www.vkontakte.ru

O1 - Hosts: 193.218.156.153 www.vk.com

O1 - Hosts: 193.218.156.153 vkontakte.ru

O1 - Hosts: 193.218.156.153 vk.com

O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru

O1 - Hosts: 193.218.156.153 odnoklassniki.ru

 

 

профиксил. вроде заработало... перезагрузился.... такаяже фигня.. эи строчки снова появились.. и посли их фикса теперь всеравно не открываются сайты эти...

 

да и файл хост пустой почемуто....нет никаких левых строчек в нем.

 

upd//

незаметил вес файла хост... 150 кб... там все вразноброс записано (40 левых записей) hosts.rar

 

 

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 19 июня, 2011 пользователем SEcrash63

[Roman_Five]

Ваш зловред:

http://www.virustotal.com/file-scan/report...13b4-1308333890

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe');
QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Downloads\Programs\AMMYY_Admin.exe','');
QuarantineFile('C:\webserwers\denwer\Boot.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\eTSCFLT.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\gtscser.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\archlp.sys','');
QuarantineFile('c:\documents and settings\admin\application data\lsass.exe','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ClearHostsFile;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe
O1 - Hosts: 193.218.156.153 www.vkontakte.ru
O1 - Hosts: 193.218.156.153 www.vk.com
O1 - Hosts: 193.218.156.153 vkontakte.ru
O1 - Hosts: 193.218.156.153 vk.com
O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru
O1 - Hosts: 193.218.156.153 odnoklassniki.ru
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?')
O4 - HKUS\S-1-5-21-2000478354-527237240-1547161642-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User '?')
O4 - S-1-5-21-2000478354-527237240-1547161642-500 Startup: Create virtual drive for Denwer.lnk = C:\webserwers\denwer\Boot.exe (User '?')
O4 - S-1-5-21-2000478354-527237240-1547161642-500 Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe (User '?')

 

AMMYY Admin деинсталлировали? если да - пофиксите:

O23 - Service: Ammyy Admin (AmmyyAdmin) - Unknown owner - C:\Documents and Settings\Admin\Мои документы\Downloads\Programs\AMMYY_Admin.exe (file missing)

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

 

Антивирус используете?

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[SEcrash63]

Malwarebytes' Anti-Malware cкачать сейчас нет возможности.. вредонос не давал выполнить скрипт авз.. окно скрипта попросту закрывалось.. пришлось сначала удалить вручную и останавливать процесс... теперь все работает.. спасибо..

[Roman_Five]

SEcrash63,

не игнорируем:

Сделайте новые логи по правилам.

 

Антивирус используете?

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[SEcrash63]

SEcrash63,

не игнорируем:

сейчас нет интернета нормального.. завтра буду дома... сккачаю её и сделаю проверку)

 

вот новые логи

hijackthis.log

mbam_log_2011_06_19__20_44_32_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Удалите в MBAM:

Заражённые файлы:

c:\documents and settings\Admin\local settings\Temp\jar_cache1661687449755677711.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache1906831816634729848.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache3959686325614060357.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache6489173644372328424.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\jar_cache7354079503986714013.tmp (Trojan.Agent) -> No action taken.
c:\program files\Opera\0.949882706786626.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken.
c:\дистрибут\против вирусов\avz4\avz4\quarantine\2011-06-19\avz00001.dta (Malware.Packer.Gen) -> No action taken.
c:\дистрибут\против вирусов\avz4\avz4\quarantine\2011-06-19\avz00003.dta (PUP.PasswordView) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.16605680473897944.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.20265419165261167.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.7558500271428972.exe (Exploit.Drop.2) -> No action taken.
c:\documents and settings\Admin\local settings\Temp\0.9048252163094631.exe (Exploit.Drop.2) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

Эти файлы проверьте на virustotal.com

c:\documents and settings\Admin\мои документы\проша\far_manager_1\Plugins\2020_52\qamaker.exe (Trojan.Dropper) -> No action taken.
c:\Westwood\RA2\Ra2.exe (Trojan.FakeAlert) -> No action taken.
c:\documents and settings\Admin\мои документы\проша\s500_to_w580\w580_r8be001_main_generic_la_red52\qamaker.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\Admin\мои документы\проша\setool2_lite_v1.11\qamaker\qamaker.exe (Trojan.Dropper) -> No action taken.

4 ссылки на результаты проверок приложите.

 

Пофиксите в Hijackthis (внимательно, прошлый раз пофиксили лишнее; смена языков работает?):

O4 - HKUS\S-1-5-21-2000478354-527237240-1547161642-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

 

Вопрос про Ammyy Admin актуален. Удаляли? Удалён?

Изменено 19 июня, 2011 пользователем Roman_Five

[SEcrash63]

файлы удалил...

профиксил... смена языка работает...

Ammyy Admin- не устанавливал... а просто скачивал уже рабочую программу..запускал без установки.. ас не использую её.... пробывал фиксить соответствующую строчку .. она снова появляется...

 

http://www.virustotal.com/file-scan/report...cbf-1308504514#

http://www.virustotal.com/file-scan/report...0d73-1308504421

http://www.virustotal.com/file-scan/report...ccbf-1308504911

http://www.virustotal.com/file-scan/report...ccbf-1308504559

 

qamaker.exe- это мой файл..нужный... использую для создания патча от прошивки для доступа к определенной области...

[Roman_Five]

После удаления откройте лог и прикрепите его к сообщению.

покажите последний лог MBAM

[SEcrash63]

вот

mbam_log_2011_06_19__21_30_13_.txt

[Roman_Five]

деинсталлируйте MBAM

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

[SEcrash63]

деинсталлируйте MBAM

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

спасибо за помощь)