SEcrash63 43 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 (изменено) НЕдавно хотел зайти в контакт.. а он мне выдает введите номер телефона(пройдите валидацию)... ввожу.. пишет ваш телефон не поддерживается... думал что-то у них.. попробывал зайти в однокласники -такаяже фигня... на другом компе со своих учеток легко захожу.. окрыл хайджек, обнаружил следующие строчки Раскрывающийся текст: O1 - Hosts: 193.218.156.153 www.vkontakte.ru O1 - Hosts: 193.218.156.153 www.vk.com O1 - Hosts: 193.218.156.153 vkontakte.ru O1 - Hosts: 193.218.156.153 vk.com O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru O1 - Hosts: 193.218.156.153 odnoklassniki.ru профиксил. вроде заработало... перезагрузился.... такаяже фигня.. эи строчки снова появились.. и посли их фикса теперь всеравно не открываются сайты эти... да и файл хост пустой почемуто....нет никаких левых строчек в нем. upd// незаметил вес файла хост... 150 кб... там все вразноброс записано (40 левых записей) hosts.rar hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 19 июня, 2011 пользователем SEcrash63 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 Ваш зловред: http://www.virustotal.com/file-scan/report...13b4-1308333890 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('c:\documents and settings\admin\application data\lsass.exe'); QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Downloads\Programs\AMMYY_Admin.exe',''); QuarantineFile('C:\webserwers\denwer\Boot.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\eTSCFLT.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\gtscser.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\archlp.sys',''); QuarantineFile('c:\documents and settings\admin\application data\lsass.exe',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\lsass.exe'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; BC_Activate; ClearHostsFile; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\lsass.exe O1 - Hosts: 193.218.156.153 www.vkontakte.ru O1 - Hosts: 193.218.156.153 www.vk.com O1 - Hosts: 193.218.156.153 vkontakte.ru O1 - Hosts: 193.218.156.153 vk.com O1 - Hosts: 193.218.156.153 www.odnoklassniki.ru O1 - Hosts: 193.218.156.153 odnoklassniki.ru O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-19\..\Run: [VistaIcon] C:\Program Files\VistaDriveIcon\VistaDrv.exe (User '?') O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?') O4 - HKUS\S-1-5-19\..\RunOnce: [IE8_02] rundll32 advpack.dll,LaunchINFSectionEx IE8int.inf,AfterUserStart,,4,N (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User '?') O4 - HKUS\S-1-5-21-2000478354-527237240-1547161642-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User '?') O4 - S-1-5-21-2000478354-527237240-1547161642-500 Startup: Create virtual drive for Denwer.lnk = C:\webserwers\denwer\Boot.exe (User '?') O4 - S-1-5-21-2000478354-527237240-1547161642-500 Startup: Punto Switcher.lnk = C:\Program Files\Yandex\Punto Switcher\punto.exe (User '?') AMMYY Admin деинсталлировали? если да - пофиксите: O23 - Service: Ammyy Admin (AmmyyAdmin) - Unknown owner - C:\Documents and Settings\Admin\Мои документы\Downloads\Programs\AMMYY_Admin.exe (file missing) После проведённого лечения рекомендуется установить следующие обновления: - все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Сделайте новые логи по правилам. Антивирус используете? Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
SEcrash63 43 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 Malwarebytes' Anti-Malware cкачать сейчас нет возможности.. вредонос не давал выполнить скрипт авз.. окно скрипта попросту закрывалось.. пришлось сначала удалить вручную и останавливать процесс... теперь все работает.. спасибо.. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 SEcrash63, не игнорируем: Сделайте новые логи по правилам. Антивирус используете? Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
SEcrash63 43 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 SEcrash63,не игнорируем: сейчас нет интернета нормального.. завтра буду дома... сккачаю её и сделаю проверку) вот новые логи hijackthis.log mbam_log_2011_06_19__20_44_32_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 (изменено) Удалите в MBAM: Заражённые файлы: c:\documents and settings\Admin\local settings\Temp\jar_cache1661687449755677711.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\local settings\Temp\jar_cache1906831816634729848.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\local settings\Temp\jar_cache3959686325614060357.tmp (Spyware.Passwords.XGen) -> No action taken. c:\documents and settings\Admin\local settings\Temp\jar_cache6489173644372328424.tmp (Trojan.Agent) -> No action taken. c:\documents and settings\Admin\local settings\Temp\jar_cache7354079503986714013.tmp (Trojan.Agent) -> No action taken. c:\program files\Opera\0.949882706786626.exe (Spyware.Passwords.XGen) -> No action taken. c:\WINDOWS\system32\eventvwr.exe (Trojan.FakeMS) -> No action taken. c:\дистрибут\против вирусов\avz4\avz4\quarantine\2011-06-19\avz00001.dta (Malware.Packer.Gen) -> No action taken. c:\дистрибут\против вирусов\avz4\avz4\quarantine\2011-06-19\avz00003.dta (PUP.PasswordView) -> No action taken. c:\documents and settings\Admin\local settings\Temp\0.16605680473897944.exe (Exploit.Drop.2) -> No action taken. c:\documents and settings\Admin\local settings\Temp\0.20265419165261167.exe (Exploit.Drop.2) -> No action taken. c:\documents and settings\Admin\local settings\Temp\0.7558500271428972.exe (Exploit.Drop.2) -> No action taken. c:\documents and settings\Admin\local settings\Temp\0.9048252163094631.exe (Exploit.Drop.2) -> No action taken. После удаления откройте лог и прикрепите его к сообщению. Эти файлы проверьте на virustotal.com c:\documents and settings\Admin\мои документы\проша\far_manager_1\Plugins\2020_52\qamaker.exe (Trojan.Dropper) -> No action taken. c:\Westwood\RA2\Ra2.exe (Trojan.FakeAlert) -> No action taken. c:\documents and settings\Admin\мои документы\проша\s500_to_w580\w580_r8be001_main_generic_la_red52\qamaker.exe (Trojan.Dropper) -> No action taken. c:\documents and settings\Admin\мои документы\проша\setool2_lite_v1.11\qamaker\qamaker.exe (Trojan.Dropper) -> No action taken. 4 ссылки на результаты проверок приложите. Пофиксите в Hijackthis (внимательно, прошлый раз пофиксили лишнее; смена языков работает?): O4 - HKUS\S-1-5-21-2000478354-527237240-1547161642-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?') Вопрос про Ammyy Admin актуален. Удаляли? Удалён? Изменено 19 июня, 2011 пользователем Roman_Five Цитата Ссылка на сообщение Поделиться на другие сайты
SEcrash63 43 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 файлы удалил... профиксил... смена языка работает... Ammyy Admin- не устанавливал... а просто скачивал уже рабочую программу..запускал без установки.. ас не использую её.... пробывал фиксить соответствующую строчку .. она снова появляется... http://www.virustotal.com/file-scan/report...cbf-1308504514# http://www.virustotal.com/file-scan/report...0d73-1308504421 http://www.virustotal.com/file-scan/report...ccbf-1308504911 http://www.virustotal.com/file-scan/report...ccbf-1308504559 qamaker.exe- это мой файл..нужный... использую для создания патча от прошивки для доступа к определенной области... Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 После удаления откройте лог и прикрепите его к сообщению. покажите последний лог MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
SEcrash63 43 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 вот mbam_log_2011_06_19__21_30_13_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июня, 2011 Share Опубликовано 19 июня, 2011 деинсталлируйте MBAM После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Цитата Ссылка на сообщение Поделиться на другие сайты
SEcrash63 43 Опубликовано 19 июня, 2011 Автор Share Опубликовано 19 июня, 2011 деинсталлируйте MBAM После проведённого лечения рекомендуется: - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) спасибо за помощь) Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.