Перейти к содержанию
Правила раздела

вконтакте не войти (требует телефонный номер), браузер предлагает обновить за деньги

-Scorp-

От -Scorp-
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

-Scorp- Новичок

-Scorp-

Опубликовано
Опубликовано (изменено)

всё как описано в теме:

http://forum.kasperskyclub.ru/index.php?showtopic=26802

 

и окно и в опере и в эксплорере и в фаерфоксе вылазит с требованием обновить за деньги (все новейшие версии).

и в контакте пишет что есть привязка к телефону и надо написать номер, туда придёт СМС (но её конечно нет)

и постоянно соединения прерываются... через раз грузит, бывает без оформления вообще, с какимито кракозябрами....

 

скрины такие-же.

 

всё это на компьютере моих родственников, очень торопился (маленький ребёнок спать ложился в той же комнате)

поэтому может что и неправильно по логам получилось.

сильно не пинайте, посмотрите что получится.

 

различные скрипты для AVZ что видел на форуме по таким троянам не помогли,

Dr.Web CureIt! и kaspersky removal tool тоже.

Malwarebytes' Anti-Malware нашел немного, но проблема осталась.

 

логи:

avz_sysinfo.zip

hijackthis.zip

Anti_Malware_log.zip

Изменено пользователем -Scorp-
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

-Scorp-,

добро пожаловать на форум!

 

очень торопился

придётся переделать логи. Вы использовали старую версию Hijackthis и лог AVZ не такой, как надо (+, возможно, не обновили базы AVZ).

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\pchd\*.*','');
QuarantineFile('C:\Program Files\VPets\*.*','');
DeleteFileMask('C:\Program Files\VPets\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\VPets\ ',' ');
DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\pchd\ ',' ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe

 

Сделайте новые логи по правилам.

http://forum.kasperskyclub.ru/index.php?showtopic=1698

В результате у вас должны иметься три протокола: virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log.
Ссылка на комментарий
Поделиться на другие сайты
-Scorp- Новичок

-Scorp-

Опубликовано
  • Автор
Опубликовано

вот теперь есть больше времени и всё сделал как вы говорили.

 

предложенный скрипт выполнил, естественно не помогло.

Qurantine.zip создан, но из-за активного трояна никак не отправить через форму.

заберу файл к себе домой и отправлю позже.

указанных вами строк чтоб пофиксить в HijackThis не было.

 

сделал новые логи по правилам.

вот они:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

жду решения :(

заранее спасибо за ваш труд.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

C:\Program Files\Be Admired\Be Admired.exe проверьте на virustotal.com

ссылку на проверку приложите.

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

Ссылка на комментарий
Поделиться на другие сайты
-Scorp- Новичок

-Scorp-

Опубликовано
  • Автор
Опубликовано (изменено)

C:\Program Files\Be Admired\Be Admired.exe этого файла и каталога нету совсем.

ComboFix использовал, TDSSkiller тоже.

ничего не помогло. :)

 

бороться дальше нету сил да и терпение у всех закончилось, переустановил виндовс, помогло :P

 

вот логи (может пригодятся для дела):

 

ComboFix.txt

TDSSKiller.2.5.5.0_23.06.2011_19.05.51_log.txt

 

вопрос закрыт, большое спасибо за помощь.

Изменено пользователем -Scorp-
Ссылка на комментарий
Поделиться на другие сайты
-Scorp- Новичок

-Scorp-

Опубликовано
  • Автор
Опубликовано
-Scorp-,

сделайте новый отчёт TDSSKiller

у Вас было заражение буткитом

владельцы компьютера уехали на дачу на неделю, т.ч рад-бы но пока не могу.

может быть позже...

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
владельцы компьютера уехали на дачу на неделю, т.ч рад-бы но пока не могу.

может быть позже...

ок. только перекачайте новую версию TDSSKiller'a

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Обновите Google Chrome (и другие браузеры на Chromium) | Блог Касперского
      От KL FC Bot
      Астрологи объявили неделю ретроградного Меркурия браузерных уязвимостей: количество опасных дыр в браузерах увеличилось вдвое! Только что мы написали о том, что надо оперативно установить обновления iOS и macOS из-за серьезного бага в Apple WebKit (основа браузера Safari и любых браузеров в iOS). И вот из-за похожей, так сказать, по своим эксплуатационным характеристикам проблемы пора срочно обновлять и другие браузеры. На этот раз речь идет о Google Chrome, а также о родственных ему браузерах — и не только браузерах, но не будем забегать вперед.
      Уязвимости в движке V8
      Уязвимость CVE-2023-2033 была найдена в движке V8. Этот движок используется для обработки JavaScript. Нашел ее тот же самый исследователь из команды Google Threat Analysis Group (TAG), который участвовал в обнаружении уязвимостей в iOS и macOS, описанных в нашем предыдущем посте.
      В соответствии со своей обычной политикой, Google не разглашает подробности об уязвимости, пока большинство пользователей не обновит свои браузеры, так что подробной информации о дыре пока нет. Однако известно, что эксплойт для этой уязвимости уже существует.
      Чтобы ее проэксплуатировать, атакующим необходимо создать вредоносную веб-страницу и заманить на нее жертву. После этого они получат возможность выполнения произвольного кода на атакуемом компьютере. В общем, как и найденная ранее уязвимость в Safari WebKit, данная дыра позволяет организовывать атаки zero-click, то есть заражать устройства пользователей без каких-либо активных действий с их стороны — достаточно лишь тем или иным образом заставить жертву открыть опасный сайт.
      Известно, что данная уязвимость есть как минимум в десктопных версиях всех браузеров, основанных на проекте Chromium, — то есть не только в самом Google Chrome, но еще и в Microsoft Edge, Opera, Яндекс.Браузере, Vivaldi, Brave и многих других. Также она, вероятно, затрагивает приложения, работающие на основе фреймворка Electron, — как мы уже не так давно писали, такие программы по сути представляют собой веб-страницы, открытые во встроенном в приложение браузере Chromium.
       
      View the full article
    • KL FC Bot
      Взлом смартфонов Samsung, Google and Vivo по номеру телефона | Блог Касперского
      От KL FC Bot
      Пользователи смартфонов, планшетов и даже автомобилей на базе микропроцессоров Samsung Exynos находятся под угрозой дистанционного взлома. Охотники на ошибки из Google Project Zero говорят, что для этого достаточно всего лишь знать номер телефона жертвы.
      Виной тому 18 уязвимостей в радиомодуле Exynos, широко используемом в смартфонах Google, Vivo,  Samsung и многих других. Четыре из них — критические и позволяют злоумышленнику удаленно выполнять код на устройствах пользователей без каких-либо действий с их стороны. Остальные требуют либо злонамеренных действий со стороны оператора мобильной связи, либо непосредственного доступа хакера к устройству жертвы.
      Эти уязвимости можно исправить только обновлением прошивки, но его еще нужно дождаться, а между тем владелец смартфона и его данные могут подвергаться угрозе. Пока доступны только временные защитные меры.
      Что такое радиомодуль
      Радиомодуль (baseband radio processor, BRP) — это часть смартфона, планшета или другой умной техники, отвечающая за беспроводную сотовую связь, от второго до пятого поколения:
      2G – GSM, GPRS, EDGE 3G – CDMA, W-CDMA 4G – LTE 5G – 5G NR Wi-Fi и Bluetooth чаще всего находятся вне «компетенции» радиомодуля.
      Раньше это был отдельный чип, но уже более десяти лет он обычно интегрирован с центральным процессором на едином кристалле. Тем не менее у радиомодуля есть собственная память и довольно сложная система команд — по сути, это полноценный узкоспециализированный процессор, активно обменивающийся данными с центральным процессором и основной памятью.
      Исполняемый код радиомодуля записан в него производителем и практически недоступен приложениям на смартфоне для анализа или изменения. Для центрального процессора радиомодуль — это «черный ящик», который, тем не менее, иногда имеет широкий доступ к основной памяти устройства, где хранятся пользовательские данные.
      И центральные процессоры, и радиомодули производятся многими компаниями. У Samsung есть подразделение, изготавливающее чипы памяти и другую микроэлектронику — Samsung Semiconductor. Их флагманские чипы называются Exynos, и они используются во многих (но не во всех) моделях смартфонов и планшетов Samsung.
       
      View the full article
    • kmscom
      Как я хотела купить телефон и чуть не потеряла все деньги
      От kmscom
      Часто изучаете отзывы перед покупкой товара на маркетплейсах? Представьте: вы заглядываете почитать, что люди пишут в комментариях про какой-нибудь смартфон, а там предлагают купить его на другом сайте с хорошей скидкой. И ссылка. Любопытно?
      Вот и @dkhilobokстало интересно. В новом видео — о том, как она чуть не отдала все свои деньги мошенникам, и о том, как антивирус спасает от фишинговых сайтов.
       
       
×
×
  • Создать...