Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Блокиратор windows, браузера и модификация hosts

Alex.E

Автор Alex.E
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alex.E Новичок

Alex.E

Опубликовано
Опубликовано

Здравствуйте.

 

Случилось подхватить блокиратор Windows, который просил пополнить МТС номер через терминал, загружаясь до запуска Windows.

 

Эту проблему удалось решить с помощью утилиты Kaspersky WindowsUnlocker. Загружал компьютер с помощью Kaspersky Rescue Disk. Потом производил разблокировку и сделал проверку на вирусы. Было найдено 10 Jawa Exploit'ов (названия, к сожалению не помню) и несколько Троянов - trojan-psw.win32.tepfer.

 

Вирусы были удалены.

 

Потом запускал Windows и на всякий случай, проходил проверку антивирусом Касперского.

 

В итоге угроз не обнаружено.

 

 

Но на данный момент компьютер заражен. Постоянно происходит модификация файла hosts. В него добавляются строчки:

 

Раскрывающийся текст:

127.0.0.1 nezayti.ru nekontakt2.ru hellhead.ru anonymizer.ru xy4-anonymizer.ru unboo.ru
127.0.0.1 obhodilka.ru nemir.ru workandtalk.ru webvpn.org anonim.ttu.su websplatt.ru
127.0.0.1 o.vhodilka.ru timp.ru urlbl.ru dostupest.ru waitplay.ru antiblock.ru
127.0.0.1 pinun.ru anonim.do.am netdostupa.com anonimix.ru jelya.ru v.vhodilka.ru
127.0.0.1 ok-anonimaizer.ru spoolls.com neklassniki.ru dardan.ru vhodilka.ru dostyp.ru 
127.0.0.1 adminimus.ru diazoom.ru webmurk.ru raskruty.ru cameleo.ru razblokirovatdostup.ru
37.10.117.75 www.google-analytics.com counter.rambler.ru mc.yandex.ru admulti.com counter.spylog.com
37.10.117.77 m.odnoklassniki.ru vk.com www.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru

 

 

Чищу, они появляются вновь. Например, могут появиться, пока я набираю это сообщение.

 

А также через раз в браузере появляется всплывающее окно:

 

post-27423-1357237273_thumb.jpg

 

 

Помогите пожалуйста. Как побороть?

 

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

выполните рекомендации из данной темы.

http://virusinfo.info/showthread.php?t=3519

ссылку на закачанный туда архив приложите.

 

cкачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Вместо лога Hijackthis требуются 2 лога RSIT. приложите.

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Alex.E Новичок

Alex.E

Опубликовано
  • Автор
Опубликовано

Файл AVZ

 

Раскрывающийся текст:

Файл сохранён как	130103_190717_virusinfo_files_ALEKSANDR-PK_50e5d6e55d53d.zip
Размер файла	10965024
MD5	01b32897a082687b5aa8abc57caaf328

 

 

 

Malwarebytes' Anti-Malware

 

MBAM_log_2013_01_04__02_05_00_.txt

 

 

RSIT

 

info.txt

log.txt

 

 

 

TDSSkiller

TDSSKiller.2.7.34.0_04.01.2013_01.15.13_log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

что за задания?

C:\Windows\tasks\At1.job
C:\Windows\tasks\At2.job
C:\Windows\tasks\At3.job
C:\Windows\tasks\At4.job

 

автокарантин - чистый.

 

Вам знаком FileCash Архиватор?

если нет - удалите в MBAM

Обнаруженные папки:  1
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор (Adware.FileCash) -> Действие не было предпринято.

Обнаруженные файлы:  8
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\FileCash Архиватор.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Uninstall.lnk (Adware.FileCash) -> Действие не было предпринято.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileCash Архиватор\Website.lnk (Adware.FileCash) -> Действие не было предпринято.

 

Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.

Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)

Перезагрузите компьютер.

Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

 

хост меняется?

окна появляются?

Ссылка на комментарий
Поделиться на другие сайты
Alex.E Новичок

Alex.E

Опубликовано
  • Автор
Опубликовано (изменено)
что за задания?

 

Не знаю, что это. Удалить?

 

Вам знаком FileCash Архиватор?

если нет - удалите в MBAM

Да. Но также удалил.

 

Выполните в AVZ скрипт из файла...

 

Сделано.

 

хост меняется?

окна появляются?

 

После этих действий изменений и окон пока не было.

Но windows заметно "тормозит". Быть может дело в "C:\Windows\tasks\At1.job" ?

 

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.

 

 

upd2: Нагуглил похожую проблему про At1.job

 

http://forum.ru-board.com/topic.cgi?forum=...mp;start=320#14

Изменено пользователем Alex.E
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Не знаю, что это. Удалить?

посмотрите в свойствах, какой файл запускается.

по логу AVZ там что-то неопасное... но что - я не вижу.

 

 

 

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe

Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10...amp;postcount=1

 

upd: хост поменялся. На момент написания сообщения всё было хорошо. Сейчас опять добавились те же строчки, о которых писал выше.

 

сделайте логи по правилам в такой момент - только ничего не правьте.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • Kirik_
      Windows 11
      Автор Kirik_
      Первые скриншоты Windows 11 — изменения коснулись «Пуска», панели задач, интерфейса и многого другого
      В Сети оказались опубликованы скриншоты, сделанные в грядущей операционной системе Windows 11 от компании Microsoft. На опубликованных изображениях демонстрируется новый пользовательский интерфейс, свежее меню «Пуск» и многое другое. Поскольку это очень ранняя сборка, некоторые элементы новой ОС остались такими же, как у текущей версии Windows 10.
       
      Новый пользовательский интерфейс и меню «Пуск» в Windows 11 очень похожи на те, что изначально были в Windows 10X. Microsoft пыталась упростить интерфейс Windows для использования на устройствах с двумя экранами, но в конечном счёте отказалась от дальнейшей разработки Windows 10X. Позже компания пообещала использовать те наработки в основной версии ОС, и как видно, сдержала обещание — многие элементы легли в основу новой Windows 11.
       
      Наиболее заметное визуальное отличие новой ОС связано с панелью задач. Microsoft решила сместить иконки приложений с левого нижнего края экрана в центр. Здесь же находится и новая кнопка меню «Пуск». Последняя представляет собой упрощённую версию того меню, что сегодня присутствует в Windows 10.
       
      В новой версии операционной системы используются закруглённые углы окон. Контекстуальные меню, иконки, а также окно проводника — теперь всё имеет закруглённые углы, включая иконки и окна меню «Пуск».
       
      На панели задач Windows 11 можно увидеть новую иконку Widgets (виджеты). Слухи о том, что компания вернёт их в новую ОС, ходят уже давно. Правда, сами виджеты из-за «сырости» версии сборки пока недогружаются. С помощью виджетов можно будет быстро узнать погоду, свежие новости и другую полезную информацию из Сети.
       
      В ранней сборке Windows 11 компания пока не вносила изменения в интерфейс магазина приложений Windows Store. Прежде сообщалось, что Microsoft собирается серьёзно переработать магазин приложений и сделать его более дружелюбным не только для пользователей, но и для разработчиков приложений. Для них упростят размещение контента на платформе, а также позволят использовать в приложениях сторонние платёжные сервисы.
       
      Визуально изменится и процесс установки Windows 11. Однако пользователя как и раньше будут сопровождать по каждому шагу установки и настройки новой ОС. При каждой загрузке Windows 11 пользователя будет встречать новый звук запуска системы.
       
      Microsoft подробно расскажет о «следующем поколении Windows» на специальном мероприятии, которое состоится в конце этого месяца. Софтверный гигант начал рассылку приглашений на мероприятие, которое будет полностью посвящено программной платформе Windows и начнётся в 18:00 (мск) 24 июня.
       
      Источник
    • Jefri28
      Телефон Microsoft Windows
      Автор Jefri28
      Подловил вирус обнаружил то что в играх фпс очень сильно падает включаю диспетчер задач и он поднимается. У меня есть программа в которой нашёл этот процесс он на скрине в закрытом состоянии, но если отключу диспетчер задач то и оперативка и цп начнут много потреблять как его удалить подскажите пожайлуста Windows 11.
    • Jacket45
      При запуске компьютера и браузера самостоятельно скачивается ablock
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Паолина
      Не выйти из безопасного режима Windows 8.1
      Автор Паолина
      Добрый день,
       
      Попыталась помочь матушке решить проблему с её компьютером (я гуманитарий) и столкнулась с неожиданной проблемой. У неё всё началось с Касперского, который просил себя восстановить, но не работала ни система удаления/переустановки, ни браузеры. Я вышла в безопасный режим через msconfig, чтобы начать разбираться с проблемой, и застряла: Windows не принимает ни один пароль (100% правильный) и никуда не пускает. Сделала восстановительную флешку с образом и вышла-таки наконец в командную строку. На стандартные команды типа bcdedit /deletevalue {default} safeboot выдаётся "Не удаётся открыть данные конфигурации загрузки. Том для открытого файла был изменён извне". Но в командной строке я совсем уж чайник, с трудом догадалась что надо бы поставить вместо "X:/Sources" "C:", но не уверена, что это сработало. Нет ли тут терпеливых специалистов, которые могли бы помочь? Железо древнее, Windows 8.1, русскоязычный.
×
×
  • Создать...