И снова о принадлежности аккаунта “ВКонтакте”...

9 июля, 2011

После этой, всем уже надоевшей, "шляпы" с ВК,а именно

Уважаемый пользователь, для входа в аккаунт необходимо пройти процедуру подтвержления принадлежности аккаунта. Вход в аккаунт останется ограничен до завершения процедуры.

Приносим свои извинения за доставленные неудобства, но к сожалению, подтверждение принадлежности аккаунта с помощью мобильного телефона является необходимой мерой безопасности.

Это позволит сохранить Ваши личные данные от злоумышленников. Более они не смогут воспользоваться Вашим аккаунтом для рассылки спам-сообщений, вирусов и прочего. А Вы, в свою очередь, будете уверены в том, что всегда сможете войти на свою страничку «ВКонтакте».

Ваш аккаунт будет привязан к Вашему мобильному телефону. И в случае возникших проблем с доступом в аккаунт, Вы легко сможете восстановить его с помощью мобильного телефона.

Подтверждение принадлежности аккаунта займет у Вас не более 5 минут. Для этого воспользуйтесь формой приведенной ниже.

Во всех браузерах сайты не открываются или открываются через раз... Ко всему прочему так же вылазит

В системе обнаружен вирус. Использование интернета нежелательно.

Браузер зафиксировал попытки внесения изменений в его работу.

Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах

рекомендуем немедленно установить последнее обновление безопасности браузера.

Trojan.Win32.Ddox.ci

– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ

Для безопасного продолжения работы необходимо обновить браузер

KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)

KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

Антивирусом проверил - ничего. CureIT тоже промолчал.

Аськи, агенты и прочий софт работает с инетом без проблем. Так же портабл софт бегает по интернету.

Прошу помощи!

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

10 июля, 2011

Tatarmalae,

добро пожаловать на форум!

Ваш зловред - http://www.virustotal.com/file-scan/report...f018-1310282371

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\hxwlsll.dll','');
QuarantineFile('c:\windows\system32\chgservice.exe ',' ');
DeleteFile('C:\Windows\system32\hxwlsll.dll');
DelAutorunByFileName('C:\Windows\system32\hxwlsll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Бар знакомств 2 (Browser Helper Objects) - {52CFF9E4-5FCD-460E-B476-7953788CA004} - (no file)
O3 - Toolbar: (no name) - {52CFF9E4-5FCD-460E-B476-7953788CA004} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\hxwlsll.dll

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- DrWeb.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

+

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

13 июля, 2011

Выполнять начал и после применения GMER система рухнула... Синий экран смерти. Вот тока седня восстановился. Проблема пропала после евыполнения скрипта и фикса. Может порсто логи предоставить AVZ и HijackThis? Боюсь я вновь этот GMER запускать...

13 июля, 2011

Выполнять начал и после применения GMER система рухнула... Синий экран смерти. Вот тока седня восстановился. Проблема пропала после евыполнения скрипта и фикса. Может порсто логи предоставить AVZ и HijackThis? Боюсь я вновь этот GMER запускать...

Создайте новую контрольную точку восстановления и очистите предыдущие. Подробно тут

Приложите отчеты AVZ и HijackThis, лог Malwarebytes' Anti-Malware.

Перед запуском GMER выгружали все защитное программное обеспечение и драйвера виртуальных приводов (например, DAEMON Tools)?

Как временно отключить эмуляторы дисков

DrWeb деинсталлировали?

Изменено 13 июля, 2011 пользователем Tiare

13 июля, 2011

Пока логи обычные вот.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Посмотрите плиз. Может уже чист?...)))

13 июля, 2011

Может уже чист?...)))

сложно сказать. логи получаются неполные. для этого и предлагался GMER...

выполните скрипт в AVZ

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

после перезагрузки сделайте новые логи AVZ

17 июля, 2011

Извиняюсь за долгое отсутствие.

Контрольную точку создал, dr.web и не был никогда установленн - только cure it, но все же провел "чистку", установил пакет обновлений для своей ос и все доступные обновления, сейчас прикреплю новые логи...

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2011_07_17__18_54_02_.txt

Лог GMER сделаю ночью. Боюсь я этого зверя снова запускать на работе - музыка вырубиться еще...))) Надеюсь за какое-то время в системе ничего не измениться?

Изменено 17 июля, 2011 пользователем Tatarmalae

17 июля, 2011

Avz - AVZPM - удалить и выгрузить драйвер расширенного мониторинга

AVZ -файл - стандартные скрипты - # 6. - выполнить

перезагрузитесь. сделайте стандартный скрипт № 2 (avz - файл - стандартные скрипты - № 2 - выполнить).

полученный лог virusinfo_syscheck.zip приложите

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken.

Зараженные файлы:
c:\Users\Admin\AppData\Roaming\data.dat (Stolen.Data) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

С этим - на Ваше усмотрение:

d:\документы\!хак, кард и софт!\для телефона\для винды\thematrix.scr (Trojan.FakeAlert) -> No action taken.
d:\документы\!хак, кард и софт!\Хак\X-files\ICQ\взлом аськи\вся правда об icq\y0sort\ёSort.exe (Trojan.Downloader) -> No action taken.
d:\документы\!хак, кард и софт!\Хак\X-files\Wi-Fi\elcomsoft.wireless.security.auditor.3.0.2.375\Patch\elcomsoft.wireless.security.auditor.3.0.2.375.patch-jw.exe (RiskWare.Tool.HCK) -> No action taken.
d:\документы\!хак, кард и софт!\Хак\X-files\подбор паролей\Brutus\BrutusA2.exe (HackTool.Brutus) -> No action taken.
d:\надо\Фильмы\illustrator_cs5_rus\Crack\кряк\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\надо\Фильмы\coreldraw_graphics_suite_x5_v15.0.0.486_by_again\coreldraw.graphics.suite.x5.v15.0.0.486.keymaker\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\надо\Фильмы\multi password recovery v1.2.6\Original\crack\MPR.exe (PUP.PasswordView) -> No action taken.
d:\надо\Фильмы\multi password recovery v1.2.6\Portable\HookLib.dll (PUP.Hooker) -> No action taken.
d:\надо\Фильмы\multi password recovery v1.2.6\Portable\MPR.exe (PUP.PasswordView) -> No action taken.

17 июля, 2011

Roman_Five - спасибо огромное, что "возитесь" со мной))) Приведенные выше операции сделаю после работы, т.к. сейчас бук в работе и никак не потерпит перезагрузки.

То, что в папке хак, кард и софт - старый материал. Увлекался когда-то... Нужно все удалить нафиг. Остальное вроде безопасно...

multi password recovery подотру...

Лог GMER необходим будет?

Раскрывающийся текст:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

Версия базы данных: 7172

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

18.07.2011 1:21:51

mbam-log-2011-07-18 (01-21-51).txt

Тип сканирования: Полное сканирование (C:\|)

Просканированные объекты: 316831

Времени прошло: 1 часов, 16 минут, 30 секунд

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 1

Зараженные параметры в реестре: 1

Объекты реестра заражены: 3

Зараженные папки: 0

Зараженные файлы: 4

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> Quarantined and deleted successfully.

Объекты реестра заражены:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Зараженные папки:

(Вредоносных программ не обнаружено)

Зараженные файлы:

c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Not selected for removal.

c:\program files\total commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Not selected for removal.

c:\program files\total commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Not selected for removal.

c:\Users\Admin\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.

Вот лог...

Изменено 17 июля, 2011 пользователем Tatarmalae

18 июля, 2011

Лог GMER необходим будет?

если после выполнения вот этого

Avz - AVZPM - удалить и выгрузить драйвер расширенного мониторинга
AVZ -файл - стандартные скрипты - # 6. - выполнить

перезагрузитесь. сделайте стандартный скрипт № 2 (avz - файл - стандартные скрипты - № 2 - выполнить).

полученный лог virusinfo_syscheck.zip приложите

всё будет "красиво" - то нет.

Деинсталлируйте MBAM.

18 июля, 2011

Лог GMER всю ночь делался) Так что выложу уж для приличия))))

gmer.log

virusinfo_syscheck.zip

Раньше еще было такое - любое открытое окно постоянно переставало быть активным... Т.е. сижу вот допустим в Опере и прокручиваю страничку, потом хоп! система секунду "думала" и активным становился рабочий стол.... И так со всеми приложениями было... Тьфу, тьфу, тьфу вроде прошло... :)

Хотя нет, рано радовался.... Активность снова исчезает...

18 июля, 2011

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

18 июля, 2011

Вконтакте снова в ауте... Не открывается из оперы... С Хрома все гуд.

Отчет - http://www.getsysteminfo.com/read.php?file...e5a7d83c8b694fb

P.S. пока писал тут и делал логи, контакт заработал) "Активность" окон теперь реже пропадает... Можно даже сказать очень редко...

GetSystemInfo_ADMIN_Admin_2011_07_18_19_34_51.zip

TDSSKiller.2.5.11.0_18.07.2011_20.01.30_log.txt

20 июля, 2011

Не открывается из оперы...

бывает. у меня так же временами.

с ОС не всё в порядке.

Win+R

cmd

sfc /scannow

(может понадобиться диск с Windows)

после этого перезагрузитесь и переделайте лог GSI

20 июля, 2011

и ещё:

экспортируйте ветку реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer

(Win+R - regedit - ищем ветку - правый клик - экспорт)

полученный reg файл приложите, предварительно заархивировав.

И снова о принадлежности аккаунта “ВКонтакте”...

Рекомендуемые сообщения

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Tiare

Ссылка на комментарий

Поделиться на другие сайты

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Tatarmalae

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum