Не заходит в Вконтакте и Одноклассники!

[Andrey-advokat]

Не заходит в Вконтакте и Одноклассники! При вводе данных просит отправить смс! Hosts чистил, однако проблема не решилась! Высылаю вам лог полной проверки  MBAM и надеюсь на скорое решение моей проблемы!

Не заходит в Вконтакте и Одноклассники! При вводе данных просит отправить смс! Hosts чистил, однако проблема не решилась! Высылаю вам лог полной проверки  MBAM и надеюсь на скорое решение моей проблемы!

Точнее сказать все заработало, но через пару дней, столкнулся с этой же проблемой! Сделал восстановление системы - опять все нормально! Подозрение на червя! Хотелось бы полностью избавиться!

MBAM-log-2013-11-22 (22-46-47).txt

[thyrex]

Удалите в МВАМ все, кроме

C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Андрей\Desktop\патч.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

 

+ выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551

[Andrey-advokat]

 

 

Выполнил все, что сказали! Требуются новые логи от MBAM??

Удалите в МВАМ все, кроме

C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Андрей\Desktop\патч.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

+ выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Roman_Five]

 

 

Требуются новые логи от MBAM?

да.

деинсталлируйте WebConnect 3.0.0

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
SetServiceStart('MpKslab401d6c', 4);
SetServiceStart('biyittrj', 4);
SetServiceStart('qbitoqhk', 4);
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\dq3eytff.exe','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\1525346','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\129687312','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\913264563aq','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\39074085aq','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\85531510aq','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\12106722aq','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\253635613aq','');
QuarantineFile('C:\Windows\system32\drivers\biyittrj.sys','');
QuarantineFile('MpKslab401d6c.sys','');
QuarantineFile('C:\Windows\system32\drivers\qbitoqhk.sys','');
QuarantineFile('C:\Users\Андрей\5663400.exe','');
QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\1dftrh6y5et4wef.exe','');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\1dftrh6y5et4wef.exe','32');
DeleteFile('C:\Users\Андрей\5663400.exe','32');
DeleteFile('C:\Windows\system32\drivers\qbitoqhk.sys','32');
DeleteFile('C:\Windows\system32\drivers\biyittrj.sys','32');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\253635613aq','32');
DeleteFile('C:\Windows\system32\Tasks\At1.job','64');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\12106722aq','32');
DeleteFile('C:\Windows\system32\Tasks\At2.job','64');
DeleteFile('C:\Windows\system32\Tasks\At3.job','64');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\85531510aq','32');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\39074085aq','32');
DeleteFile('C:\Windows\system32\Tasks\At4.job','64');
DeleteFile('C:\Windows\system32\Tasks\At5.job','64');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\913264563aq','32');
DeleteFile('C:\Windows\system32\Tasks\At6.job','64');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\129687312','32');
DeleteFile('C:\Windows\system32\Tasks\At7.job','64');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\1525346','32');
DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\dq3eytff.exe','32');
DeleteFile('C:\Windows\system32\Tasks\back.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Windows\system32\Tasks\At3','64');
DeleteFile('C:\Windows\system32\Tasks\At4','64');
DeleteFile('C:\Windows\system32\Tasks\At6','64');
DeleteFile('C:\Windows\system32\Tasks\At5','64');
DeleteFile('C:\Windows\system32\Tasks\At7','64');
DeleteFile('C:\Windows\system32\Tasks\back','64');
DeleteService('MpKslab401d6c');
DeleteService('biyittrj');
DeleteService('qbitoqhk');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gigra.org
O2 - BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files (x86)\WebConnect\WebConnectbho.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

после уточнения у провайдера правильных адресов DNS пофиксите также:

O17 - HKLM\System\CCS\Services\Tcpip\..\{68978C42-C72C-4A08-B255-72835F3E8A99}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1

если пропадёт доступ в интернет - пропишите правильные DNS

Сделайте новые логи по правилам (не забудьте обновить базы AVZ!) .

+

 

Сделайте лог AdwCleaner
http://safezone.cc/forum/showthread.php?t=19726

[Andrey-advokat]

Все пофиксил, как сказали! Вот новые логи! Жду дальнейших указаний!

AdwCleanerR0.txt

info.txt

log.txt

MBAM-log-2013-11-23 (17-20-59).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Удалите в MBAM:

Обнаруженные файлы: 6
C:\Users\Андрей\AppData\Local\Opera\Opera\cache\g_0007\opr000Q1.tmp (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Users\Андрей\AppData\Local\Opera\Opera\temporary_downloads\adwcleaner-3-012-es-en-br-fr-de-win-setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Users\Андрей\AppData\Local\Temp\ICReinstall_adwcleaner-3-012-es-en-br-fr-de-win-setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.

новый лог приложите

 

проверьте на virustotal.com следующие файлы:

C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab
C:\Users\Андрей\Desktop\патч.exe
D:\FIFA 13.v 1.5.0.0 + 1 DLC\Game\rld.dll

3 ссылки на результаты проверки приложите.

 

Запустите ещё раз проверку в AdwCleaner и после её окончания нажмите Clean

новый лог после перезагрузки приложите.

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Windows\Tasks\At2.job','64');
DeleteFile('C:\Windows\Tasks\At3.job','64');
DeleteFile('C:\Windows\Tasks\At5.job','64');
DeleteFile('C:\Windows\Tasks\back.job','64');
DeleteFile('C:\Windows\Tasks\Dealply.job','64');
DeleteFile('C:\Windows\Tasks\At7.job','64');
DeleteFile('C:\Windows\Tasks\At6.job','64');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
DeleteFile('C:\Windows\system32\Tasks\Dealply','64');
DeleteFile('C:\Windows\system32\Tasks\DSite','64');
DeleteFileMask('C:\Windows\Tasks\ ','At?.job ',true ,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи по правилам.

[Andrey-advokat]

Все сделал как сказали!!

AdwCleanerR4.txt

info.txt

log.txt

MBAM-log-2013-11-24 (23-28-48).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

ссылки.txt

[Roman_Five]

деинсталлируйте MBAM

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
DeleteFile('C:\Windows\system32\Tasks\At4.job','64');
DeleteFile('C:\Windows\system32\Tasks\At8.job','64');
DeleteFile('C:\Windows\Tasks\At4.job','');
DeleteFile('C:\Windows\Tasks\At8.job','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Сделайте новые логи по правилам.

что с начальной проблемой?

[Andrey-advokat]

Ну вроде все нормально!! Однако проблема повторяется, через каждые 1,5 суток! Какая то виртуальная статистика) очередной раз - был сегодня! Сделал восстановление системы, в очередной раз все нормально! Но уже не просит отправить смс, просто немой экран, ввожу данные, а он никак не реагирует!

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

пофиксите в Hijackthis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{BAF7FCDF-0D69-45D7-9D01-856304AB2D0F}: NameServer = 37.10.116.200,8.8.8.8

выполните:

http://virusinfo.info/showthread.php?t=128635#post948932

http://virusinfo.info/showthread.php?t=128635&p=968385&viewfull=1#post968385

 

а также:

http://virusinfo.info/showthread.php?t=73352&p=601807&viewfull=1#post601807

повторится - делайте новые логи.

вручную удалите файлы:

C:\Windows\tasks\At4.job
C:\Windows\tasks\At8.job
C:\Windows\system32\Tasks\At4.job
C:\Windows\system32\Tasks\At8.job

[Andrey-advokat]

Все понял! Спасибо большое! Буду на связи при необходимости!