Не звходит Вконтакте(требует подтверждение по смс), браузер(Опера) жалучется на Trojan.Win32.Ddox.ci....помогите...

[SolarSistem]

все почти как тут: http://forum.kasperskyclub.ru/index.php?showtopic=26802

 

Вконтакте требует подтверждения через смс...многие сайты не открываются. С трудом создала тему даже на форуме.

Выполнила действия из: http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Даже сейчас страница вылетает в код...невозможно писать(((

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 24 июня, 2011 пользователем SolarSistem

[zirreX]

Здравствуйте!

 

Обновите Internet Explorer до восьмой версии, даже если им не пользуетесь.

 

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('E:\autorun.inf','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\Documents and Settings\Solar\Application Data\lsass.exe','');
QuarantineFile('C:\Documents and Settings\Solar\Application Data\archsoft\archivestart.exe','');
QuarantineFile('C:\WINDOWS\system32\vcmgcd32.dll','');
QuarantineFile('C:\WINDOWS\system32\brgecsd.dll','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\Documents and Settings\Solar\Application Data\archsoft\archivestart.exe');
DeleteFile('C:\Documents and Settings\Solar\Application Data\lsass.exe');
DeleteFile('C:\WINDOWS\system32\brgecsd.dll');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\vcmgcd32.dll');  
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','winxgz');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

После перезагрузки выполните такой скрипт:

 

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.

В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите свой электронный адрес.

Полученный ответ сообщите в этой теме.

 

 

Сделайте новые логи по правилам.

 

• Скачайте RSIT или c зеркала. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[SolarSistem]

Начала выполнять предписания, остановилась на отправке запроса с архивом Карантин.зип. Заполнила форму, нажала отправить, но страница вылетела... В прошлый раз так было, когда создавала эту тему, ради интереса проверила и несмотря на ошибку тема появилась... Это я все к тому, что не уверенна отправила ли запрос или нет(((

 

Продолжаю выполнять...

 

Письмо с ответом на архив:

 

"Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

archivestart.exe

bcqr00013.dat,

bcqr00014.dat,

brgecsd.dll,

ctfmon.exe

 

Файлы в процессе обработки.

 

autorun.inf,

autorun_0.inf

 

Вредоносный код в файлах не обнаружен.

 

vcmgcd32.dll - Virus.Win32.Sality.q

 

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

 

С уважением, Лаборатория Касперского"

 

Прикрепляю фаилы из RSIT:

info.txt

log.txt

[zirreX]

Скачайте Dr.Web CureIt! и сделайте полную проверку загрузившись в безопасном режиме.

После чего сделайте все логи, которые я запросил.

Изменено 24 июня, 2011 пользователем zirreX

[SolarSistem]

Вот результаты сканирования: Malwarebytes' Anti-Malware:

 

Логи вроде уже все скинула...

 

 

Контакт и некоторые сайты до сих пор увы не открываются...(

mbam_log_2011_06_24__22_48_09_.txt

Изменено 24 июня, 2011 пользователем SolarSistem

[zirreX]

Скачайте Dr.Web CureIt! и сделайте полную проверку загрузившись в безопасном режиме.

Сделали? Если нет, то сделайте.

 

После этого подготовьте новые логи AVZ, RSIT и MBAM.

[SolarSistem]

Проверку сделела, логи сброшу, спасибо большое что помогаете

[SolarSistem]

Выполнила все логи:

info.txt

log.txt

mbam_log_2011_06_27__16_29_13_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Проверьте компьютер утилитой из этой статьи

http://support.kaspersky.ru/viruses/solutions?qid=208636131

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile(' C:\WINDOWS\*.TMP ',' ');
QuarantineFile('C:\WINDOWS\system32\*.tmp',' ');
QuarantineFile('C:\WINDOWS\system32\spmsg.dll   ',' ');
DeleteFileMask('C:\WINDOWS\','*.tmp ', false,' ');
DeleteFileMask('C:\WINDOWS\system32\ ','*.tmp ',false ,' ');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
 BC_ImportQuarantineList;
BC_DeleteSvc('a4gzsrvt');
BC_DeleteSvc('axgk1vbi');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxl.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxl.net

 

что с проблемой?

 

Деинсталлируйте MBAM.

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

Изменено 28 июня, 2011 пользователем Roman_Five

[SolarSistem]

Все сделала: ответа на запрос проверки архива жду, скину как придет. Проблемы больше нет: сайты хорошо загружаются, в код не вылетают, ВКонтакте заходит, Опера не требует платных обнов из-за угрозы безопасности компьютера.

 

Лог от TDSSkiller в сообщении...

 

СПАСИБО ИСКРЕННЕ ЧТО ПОМОГЛИ! Не знаю что бы без вас делала))

TDSSKiller.2.5.8.0_30.06.2011_17.00.00_log.txt

[Roman_Five]

СПАСИБО

пожалуйста!

 

Вы удалили драйвер SPTD (виртуальных приводов)

если он нужен - переустановите.

http://disc-tools.com/download/sptd

[Mark D. Pearlstone]

Сообщение от модератора Mark D. Pearlstone

Некоторые сообщения выделены в отдельную тему