И снова о принадлежности аккаунта “ВКонтакте”...

[Tatarmalae]

После этой, всем уже надоевшей, "шляпы" с ВК,а именно

 

Уважаемый пользователь, для входа в аккаунт необходимо пройти процедуру подтвержления принадлежности аккаунта. Вход в аккаунт останется ограничен до завершения процедуры.

 

Приносим свои извинения за доставленные неудобства, но к сожалению, подтверждение принадлежности аккаунта с помощью мобильного телефона является необходимой мерой безопасности.

 

Это позволит сохранить Ваши личные данные от злоумышленников. Более они не смогут воспользоваться Вашим аккаунтом для рассылки спам-сообщений, вирусов и прочего. А Вы, в свою очередь, будете уверены в том, что всегда сможете войти на свою страничку «ВКонтакте».

Ваш аккаунт будет привязан к Вашему мобильному телефону. И в случае возникших проблем с доступом в аккаунт, Вы легко сможете восстановить его с помощью мобильного телефона.

Подтверждение принадлежности аккаунта займет у Вас не более 5 минут. Для этого воспользуйтесь формой приведенной ниже.

 

Во всех браузерах сайты не открываются или открываются через раз... Ко всему прочему так же вылазит

 

В системе обнаружен вирус. Использование интернета нежелательно.

Браузер зафиксировал попытки внесения изменений в его работу.

Во избежание кражи конфиденциальной информации, паролей и финансов в электронных системах

рекомендуем немедленно установить последнее обновление безопасности браузера.

Trojan.Win32.Ddox.ci

– Предназначен для кражи паролей (в том числе ВКонтакте, Одноклассники.ру) и загрузки на зараженный ПК новых вредоносных программ

Для безопасного продолжения работы необходимо обновить браузер

KB2735122 – Обновление безопасности (08.11.2010) (*Критическое обновление)

KB1971384 – Обновление баз фишинговых сайтов (12.11.2010)

 

Антивирусом проверил - ничего. CureIT тоже промолчал.

Аськи, агенты и прочий софт работает с инетом без проблем. Так же портабл софт бегает по интернету.

 

Прошу помощи!

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Tatarmalae,

добро пожаловать на форум!

 

Ваш зловред - http://www.virustotal.com/file-scan/report...f018-1310282371

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\hxwlsll.dll','');
QuarantineFile('c:\windows\system32\chgservice.exe ',' ');
DeleteFile('C:\Windows\system32\hxwlsll.dll');
DelAutorunByFileName('C:\Windows\system32\hxwlsll.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
O2 - BHO: Бар знакомств 2 (Browser Helper Objects) - {52CFF9E4-5FCD-460E-B476-7953788CA004} - (no file)
O3 - Toolbar: (no name) - {52CFF9E4-5FCD-460E-B476-7953788CA004} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\hxwlsll.dll

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- DrWeb.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

+

сделайте лог GMER

http://forum.kasperskyclub.ru/index.php?sh...st&p=108482

[Tatarmalae]

Выполнять начал и после применения GMER система рухнула... Синий экран смерти. Вот тока седня восстановился. Проблема пропала после евыполнения скрипта и фикса. Может порсто логи предоставить AVZ и HijackThis? Боюсь я вновь этот GMER запускать...

[Tiare]

Выполнять начал и после применения GMER система рухнула... Синий экран смерти. Вот тока седня восстановился. Проблема пропала после евыполнения скрипта и фикса. Может порсто логи предоставить AVZ и HijackThis? Боюсь я вновь этот GMER запускать...

 

Создайте новую контрольную точку восстановления и очистите предыдущие. Подробно тут

 

 

Приложите отчеты AVZ и HijackThis, лог Malwarebytes' Anti-Malware.

 

 

Перед запуском GMER выгружали все защитное программное обеспечение и драйвера виртуальных приводов (например, DAEMON Tools)?

Как временно отключить эмуляторы дисков

DrWeb деинсталлировали?

Изменено 13 июля, 2011 пользователем Tiare

[Tatarmalae]

Пока логи обычные вот.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Посмотрите плиз. Может уже чист?...)))

[Roman_Five]

Может уже чист?...)))

сложно сказать. логи получаются неполные. для этого и предлагался GMER...

 

выполните скрипт в AVZ

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

 

после перезагрузки сделайте новые логи AVZ

[Tatarmalae]

Извиняюсь за долгое отсутствие.

 

Контрольную точку создал, dr.web и не был никогда установленн - только cure it, но все же провел "чистку", установил пакет обновлений для своей ос и все доступные обновления, сейчас прикреплю новые логи...

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

mbam_log_2011_07_17__18_54_02_.txt

 

Лог GMER сделаю ночью. Боюсь я этого зверя снова запускать на работе - музыка вырубиться еще...))) Надеюсь за какое-то время в системе ничего не измениться?

Изменено 17 июля, 2011 пользователем Tatarmalae

[Roman_Five]

Avz - AVZPM - удалить и выгрузить драйвер расширенного мониторинга

AVZ -файл - стандартные скрипты - # 6. - выполнить

 

перезагрузитесь. сделайте стандартный скрипт № 2 (avz - файл - стандартные скрипты - № 2 - выполнить).

полученный лог virusinfo_syscheck.zip приложите

 

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> No action taken.

Зараженные файлы:
c:\Users\Admin\AppData\Roaming\data.dat (Stolen.Data) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

С этим - на Ваше усмотрение:

d:\документы\!хак, кард и софт!\для телефона\для винды\thematrix.scr (Trojan.FakeAlert) -> No action taken.
d:\документы\!хак, кард и софт!\Хак\X-files\ICQ\взлом аськи\вся правда об icq\y0sort\ёSort.exe (Trojan.Downloader) -> No action taken.
d:\документы\!хак, кард и софт!\Хак\X-files\Wi-Fi\elcomsoft.wireless.security.auditor.3.0.2.375\Patch\elcomsoft.wireless.security.auditor.3.0.2.375.patch-jw.exe (RiskWare.Tool.HCK) -> No action taken.
d:\документы\!хак, кард и софт!\Хак\X-files\подбор паролей\Brutus\BrutusA2.exe (HackTool.Brutus) -> No action taken.
d:\надо\Фильмы\illustrator_cs5_rus\Crack\кряк\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\надо\Фильмы\coreldraw_graphics_suite_x5_v15.0.0.486_by_again\coreldraw.graphics.suite.x5.v15.0.0.486.keymaker\Keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\надо\Фильмы\multi password recovery v1.2.6\Original\crack\MPR.exe (PUP.PasswordView) -> No action taken.
d:\надо\Фильмы\multi password recovery v1.2.6\Portable\HookLib.dll (PUP.Hooker) -> No action taken.
d:\надо\Фильмы\multi password recovery v1.2.6\Portable\MPR.exe (PUP.PasswordView) -> No action taken.

[Tatarmalae]

Roman_Five - спасибо огромное, что "возитесь" со мной))) Приведенные выше операции сделаю после работы, т.к. сейчас бук в работе и никак не потерпит перезагрузки.

 

То, что в папке хак, кард и софт - старый материал. Увлекался когда-то... Нужно все удалить нафиг. Остальное вроде безопасно...

 

multi password recovery подотру...

 

Лог GMER необходим будет?

 

 

Раскрывающийся текст:

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Версия базы данных: 7172

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

18.07.2011 1:21:51

mbam-log-2011-07-18 (01-21-51).txt

 

Тип сканирования: Полное сканирование (C:\|)

Просканированные объекты: 316831

Времени прошло: 1 часов, 16 минут, 30 секунд

 

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 1

Зараженные параметры в реестре: 1

Объекты реестра заражены: 3

Зараженные папки: 0

Зараженные файлы: 4

 

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

 

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

 

Зараженные ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Quarantined and deleted successfully.

 

Зараженные параметры в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\block_reader\DisplayName (Trojan.LdPinch) -> Value: DisplayName -> Quarantined and deleted successfully.

 

Объекты реестра заражены:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

 

Зараженные папки:

(Вредоносных программ не обнаружено)

 

Зараженные файлы:

c:\program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> Not selected for removal.

c:\program files\total commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> Not selected for removal.

c:\program files\total commander\Utils\UUDS\WnASPI32.dll (Malware.Packer.Gen) -> Not selected for removal.

c:\Users\Admin\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.

 

 

 

Вот лог...

Изменено 17 июля, 2011 пользователем Tatarmalae

[Roman_Five]

Лог GMER необходим будет?

если после выполнения вот этого

Avz - AVZPM - удалить и выгрузить драйвер расширенного мониторинга

AVZ -файл - стандартные скрипты - # 6. - выполнить

 

перезагрузитесь. сделайте стандартный скрипт № 2 (avz - файл - стандартные скрипты - № 2 - выполнить).

полученный лог virusinfo_syscheck.zip приложите

всё будет "красиво" - то нет.

 

Деинсталлируйте MBAM.

[Tatarmalae]

Лог GMER всю ночь делался) Так что выложу уж для приличия))))

 

gmer.log

virusinfo_syscheck.zip

 

Раньше еще было такое - любое открытое окно постоянно переставало быть активным... Т.е. сижу вот допустим в Опере и прокручиваю страничку, потом хоп! система секунду "думала" и активным становился рабочий стол.... И так со всеми приложениями было... Тьфу, тьфу, тьфу вроде прошло... :)

 

Хотя нет, рано радовался.... Активность снова исчезает...

[Roman_Five]

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите к новому сообщению.

[Tatarmalae]

Вконтакте снова в ауте... Не открывается из оперы... С Хрома все гуд.

 

Отчет - http://www.getsysteminfo.com/read.php?file...e5a7d83c8b694fb

 

 

 

P.S. пока писал тут и делал логи, контакт заработал) "Активность" окон теперь реже пропадает... Можно даже сказать очень редко...

 

GetSystemInfo_ADMIN_Admin_2011_07_18_19_34_51.zip

TDSSKiller.2.5.11.0_18.07.2011_20.01.30_log.txt

[Roman_Five]

Не открывается из оперы...

бывает. у меня так же временами.

 

с ОС не всё в порядке.

 

Win+R

cmd

sfc /scannow

(может понадобиться диск с Windows)

 

после этого перезагрузитесь и переделайте лог GSI

[Roman_Five]

и ещё:

экспортируйте ветку реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer

(Win+R - regedit - ищем ветку - правый клик - экспорт)

полученный reg файл приложите, предварительно заархивировав.