вконтакте не войти (требует телефонный номер), браузер предлагает обновить за деньги

[-Scorp-]

всё как описано в теме:

http://forum.kasperskyclub.ru/index.php?showtopic=26802

 

и окно и в опере и в эксплорере и в фаерфоксе вылазит с требованием обновить за деньги (все новейшие версии).

и в контакте пишет что есть привязка к телефону и надо написать номер, туда придёт СМС (но её конечно нет)

и постоянно соединения прерываются... через раз грузит, бывает без оформления вообще, с какимито кракозябрами....

 

скрины такие-же.

 

всё это на компьютере моих родственников, очень торопился (маленький ребёнок спать ложился в той же комнате)

поэтому может что и неправильно по логам получилось.

сильно не пинайте, посмотрите что получится.

 

различные скрипты для AVZ что видел на форуме по таким троянам не помогли,

Dr.Web CureIt! и kaspersky removal tool тоже.

Malwarebytes' Anti-Malware нашел немного, но проблема осталась.

 

логи:

avz_sysinfo.zip

hijackthis.zip

Anti_Malware_log.zip

Изменено 21 июня, 2011 пользователем -Scorp-

[Roman_Five]

-Scorp-,

добро пожаловать на форум!

 

очень торопился

придётся переделать логи. Вы использовали старую версию Hijackthis и лог AVZ не такой, как надо (+, возможно, не обновили базы AVZ).

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\pchd\*.*','');
QuarantineFile('C:\Program Files\VPets\*.*','');
DeleteFileMask('C:\Program Files\VPets\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\VPets\ ',' ');
DeleteFileMask('C:\Program Files\pchd\ ','*.* ',true ,' ');
DeleteDirectory('C:\Program Files\pchd\ ',' ');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VPetsPlayer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
O4 - HKCU\..\Run: [VPetsPlayer] C:\Program Files\VPets\VPets.exe

 

Сделайте новые логи по правилам.

http://forum.kasperskyclub.ru/index.php?showtopic=1698

В результате у вас должны иметься три протокола: virusinfo_syscheck.zip, virusinfo_syscure.zip и hijackthis.log.

[-Scorp-]

вот теперь есть больше времени и всё сделал как вы говорили.

 

предложенный скрипт выполнил, естественно не помогло.

Qurantine.zip создан, но из-за активного трояна никак не отправить через форму.

заберу файл к себе домой и отправлю позже.

указанных вами строк чтоб пофиксить в HijackThis не было.

 

сделал новые логи по правилам.

вот они:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

 

жду решения

заранее спасибо за ваш труд.

[Roman_Five]

C:\Program Files\Be Admired\Be Admired.exe проверьте на virustotal.com

ссылку на проверку приложите.

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

[-Scorp-]

C:\Program Files\Be Admired\Be Admired.exe этого файла и каталога нету совсем.

ComboFix использовал, TDSSkiller тоже.

ничего не помогло.

 

бороться дальше нету сил да и терпение у всех закончилось, переустановил виндовс, помогло

 

вот логи (может пригодятся для дела):

 

ComboFix.txt

TDSSKiller.2.5.5.0_23.06.2011_19.05.51_log.txt

 

вопрос закрыт, большое спасибо за помощь.

Изменено 24 июня, 2011 пользователем -Scorp-

[Roman_Five]

-Scorp-,

сделайте новый отчёт TDSSKiller

у Вас было заражение буткитом

[-Scorp-]

-Scorp-,

сделайте новый отчёт TDSSKiller

у Вас было заражение буткитом

владельцы компьютера уехали на дачу на неделю, т.ч рад-бы но пока не могу.

может быть позже...

[Roman_Five]

владельцы компьютера уехали на дачу на неделю, т.ч рад-бы но пока не могу.

может быть позже...

ок. только перекачайте новую версию TDSSKiller'a