Блокиратор windows, браузера и модификация hosts

[Alex.E]

Здравствуйте.

 

Случилось подхватить блокиратор Windows, который просил пополнить МТС номер через терминал, загружаясь до запуска Windows.

 

Эту проблему удалось решить с помощью утилиты Kaspersky WindowsUnlocker. Загружал компьютер с помощью Kaspersky Rescue Disk. Потом производил разблокировку и сделал проверку на вирусы. Было найдено 10 Jawa Exploit'ов (названия, к сожалению не помню) и несколько Троянов - trojan-psw.win32.tepfer.

 

Вирусы были удалены.

 

Потом запускал Windows и на всякий случай, проходил проверку антивирусом Касперского.

 

В итоге угроз не обнаружено.

 

 

Но на данный момент компьютер заражен. Постоянно происходит модификация файла hosts. В него добавляются строчки:

 

Раскрывающийся текст:

127.0.0.1 nezayti.ru nekontakt2.ru hellhead.ru anonymizer.ru xy4-anonymizer.ru unboo.ru
127.0.0.1 obhodilka.ru nemir.ru workandtalk.ru webvpn.org anonim.ttu.su websplatt.ru
127.0.0.1 o.vhodilka.ru timp.ru urlbl.ru dostupest.ru waitplay.ru antiblock.ru
127.0.0.1 pinun.ru anonim.do.am netdostupa.com anonimix.ru jelya.ru v.vhodilka.ru
127.0.0.1 ok-anonimaizer.ru spoolls.com neklassniki.ru dardan.ru vhodilka.ru dostyp.ru 
127.0.0.1 adminimus.ru diazoom.ru webmurk.ru raskruty.ru cameleo.ru razblokirovatdostup.ru
37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru

 

 

Чищу, они появляются вновь. Например, могут появиться, пока я набираю это сообщение.

 

А также через раз в браузере появляется всплывающее окно:

 

 

 

Помогите пожалуйста. Как побороть?

 

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

выполните рекомендации из данной темы.

http://virusinfo.info/showthread.php?t=3519

ссылку на закачанный туда архив приложите.

 

cкачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Вместо лога Hijackthis требуются 2 лога RSIT. приложите.

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

[Alex.E]

Файл AVZ

 

Раскрывающийся текст:

Файл сохранён как	130103_190717_virusinfo_files_ALEKSANDR-PK_50e5d6e55d53d.zip
Размер файла	10965024
MD5	01b32897a082687b5aa8abc57caaf328

 

 

 

Malwarebytes' Anti-Malware

 

MBAM_log_2013_01_04__02_05_00_.txt

 

 

RSIT

 

info.txt

log.txt

 

 

 

TDSSkiller

TDSSKiller.2.7.34.0_04.01.2013_01.15.13_log.txt

[Roman_Five]

что за задания?

C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job
C:\Windows\tasks\At3.job
C:\Windows\tasks\At4.job

 

автокарантин - чистый.

 

Вам знаком FileCash Архиватор?

если нет - удалите в MBAM

Обнаруженные папки:  1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор (Adware.FileCash) -> Действие не было предпринято.

Обнаруженные файлы:  8
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\FileCash Архиватор.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Uninstall.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Website.lnk (Adware.FileCash) -> Действие не было предпринято.

 

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

хост меняется?

окна появляются?

[Alex.E]

что за задания?

 

Не знаю, что это. Удалить?

 

Вам знаком FileCash Архиватор?

если нет - удалите в MBAM

Да. Но также удалил.

 

Выполните в AVZ скрипт из файла...

 

Сделано.

 

хост меняется?

окна появляются?

 

После этих действий изменений и окон пока не было.

Но windows заметно "тормозит". Быть может дело в "C:\Windows\tasks\At1.job" ?

 

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.

 

 

upd2: Нагуглил похожую проблему про At1.job

 

http://forum.ru-board.com/topic.cgi?forum=...mp;start=320#14

Изменено 4 января, 2013 пользователем Alex.E

[Roman_Five]

Не знаю, что это. Удалить?

посмотрите в свойствах, какой файл запускается.

по логу AVZ там что-то неопасное... но что - я не вижу.

 

 

 

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

 

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.

 

сделайте логи по правилам в такой момент - только ничего не правьте.

[Alex.E]

После испоользования Combofix файлы "C:\Windows\tasks\At*.job" исчезли. Файл hosts заменился на чистый.

 

Лог ComboFix'а:

ComboFix.zip

[Roman_Five]

понаблюдайте.

через день-два отпишитесь...

[Alex.E]

Здравствуйте.

 

Проблема не повторяется.

 

Большое спасибо!

[thyrex]

Удалите ComboFix