Andrey-advokat Опубликовано 22 ноября, 2013 Опубликовано 22 ноября, 2013 Не заходит в Вконтакте и Одноклассники! При вводе данных просит отправить смс! Hosts чистил, однако проблема не решилась! Высылаю вам лог полной проверки MBAM и надеюсь на скорое решение моей проблемы! Не заходит в Вконтакте и Одноклассники! При вводе данных просит отправить смс! Hosts чистил, однако проблема не решилась! Высылаю вам лог полной проверки MBAM и надеюсь на скорое решение моей проблемы! Точнее сказать все заработало, но через пару дней, столкнулся с этой же проблемой! Сделал восстановление системы - опять все нормально! Подозрение на червя! Хотелось бы полностью избавиться! MBAM-log-2013-11-22 (22-46-47).txt
thyrex Опубликовано 22 ноября, 2013 Опубликовано 22 ноября, 2013 Удалите в МВАМ все, кроме C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Андрей\Desktop\патч.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. + выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551
Andrey-advokat Опубликовано 22 ноября, 2013 Автор Опубликовано 22 ноября, 2013 Выполнил все, что сказали! Требуются новые логи от MBAM?? Удалите в МВАМ все, кроме C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Андрей\Desktop\патч.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. + выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
Roman_Five Опубликовано 22 ноября, 2013 Опубликовано 22 ноября, 2013 Требуются новые логи от MBAM? да. деинсталлируйте WebConnect 3.0.0 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; SetServiceStart('MpKslab401d6c', 4); SetServiceStart('biyittrj', 4); SetServiceStart('qbitoqhk', 4); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\dq3eytff.exe',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\1525346',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\129687312',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\913264563aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\39074085aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\85531510aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\12106722aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\253635613aq',''); QuarantineFile('C:\Windows\system32\drivers\biyittrj.sys',''); QuarantineFile('MpKslab401d6c.sys',''); QuarantineFile('C:\Windows\system32\drivers\qbitoqhk.sys',''); QuarantineFile('C:\Users\Андрей\5663400.exe',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\1dftrh6y5et4wef.exe',''); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\1dftrh6y5et4wef.exe','32'); DeleteFile('C:\Users\Андрей\5663400.exe','32'); DeleteFile('C:\Windows\system32\drivers\qbitoqhk.sys','32'); DeleteFile('C:\Windows\system32\drivers\biyittrj.sys','32'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\253635613aq','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\12106722aq','32'); DeleteFile('C:\Windows\system32\Tasks\At2.job','64'); DeleteFile('C:\Windows\system32\Tasks\At3.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\85531510aq','32'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\39074085aq','32'); DeleteFile('C:\Windows\system32\Tasks\At4.job','64'); DeleteFile('C:\Windows\system32\Tasks\At5.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\913264563aq','32'); DeleteFile('C:\Windows\system32\Tasks\At6.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\129687312','32'); DeleteFile('C:\Windows\system32\Tasks\At7.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\1525346','32'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\dq3eytff.exe','32'); DeleteFile('C:\Windows\system32\Tasks\back.job','64'); DeleteFile('C:\Windows\system32\Tasks\At1','64'); DeleteFile('C:\Windows\system32\Tasks\At2','64'); DeleteFile('C:\Windows\system32\Tasks\At3','64'); DeleteFile('C:\Windows\system32\Tasks\At4','64'); DeleteFile('C:\Windows\system32\Tasks\At6','64'); DeleteFile('C:\Windows\system32\Tasks\At5','64'); DeleteFile('C:\Windows\system32\Tasks\At7','64'); DeleteFile('C:\Windows\system32\Tasks\back','64'); DeleteService('MpKslab401d6c'); DeleteService('biyittrj'); DeleteService('qbitoqhk'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gigra.org O2 - BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files (x86)\WebConnect\WebConnectbho.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) после уточнения у провайдера правильных адресов DNS пофиксите также: O17 - HKLM\System\CCS\Services\Tcpip\..\{68978C42-C72C-4A08-B255-72835F3E8A99}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 если пропадёт доступ в интернет - пропишите правильные DNS Сделайте новые логи по правилам (не забудьте обновить базы AVZ!) . + Сделайте лог AdwCleanerhttp://safezone.cc/forum/showthread.php?t=19726
Andrey-advokat Опубликовано 23 ноября, 2013 Автор Опубликовано 23 ноября, 2013 Все пофиксил, как сказали! Вот новые логи! Жду дальнейших указаний! AdwCleanerR0.txt info.txt log.txt MBAM-log-2013-11-23 (17-20-59).txt virusinfo_syscheck.zip virusinfo_syscure.zip
Roman_Five Опубликовано 23 ноября, 2013 Опубликовано 23 ноября, 2013 Удалите в MBAM: Обнаруженные файлы: 6 C:\Users\Андрей\AppData\Local\Opera\Opera\cache\g_0007\opr000Q1.tmp (PUP.Optional.InstallCore) -> Действие не было предпринято. C:\Users\Андрей\AppData\Local\Opera\Opera\temporary_downloads\adwcleaner-3-012-es-en-br-fr-de-win-setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято. C:\Users\Андрей\AppData\Local\Temp\ICReinstall_adwcleaner-3-012-es-en-br-fr-de-win-setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято. новый лог приложите проверьте на virustotal.com следующие файлы: C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab C:\Users\Андрей\Desktop\патч.exe D:\FIFA 13.v 1.5.0.0 + 1 DLC\Game\rld.dll 3 ссылки на результаты проверки приложите. Запустите ещё раз проверку в AdwCleaner и после её окончания нажмите Clean новый лог после перезагрузки приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; DeleteFile('C:\Windows\Tasks\At1.job','64'); DeleteFile('C:\Windows\Tasks\At2.job','64'); DeleteFile('C:\Windows\Tasks\At3.job','64'); DeleteFile('C:\Windows\Tasks\At5.job','64'); DeleteFile('C:\Windows\Tasks\back.job','64'); DeleteFile('C:\Windows\Tasks\Dealply.job','64'); DeleteFile('C:\Windows\Tasks\At7.job','64'); DeleteFile('C:\Windows\Tasks\At6.job','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64'); DeleteFile('C:\Windows\system32\Tasks\Dealply','64'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); DeleteFileMask('C:\Windows\Tasks\ ','At?.job ',true ,' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Сделайте новые логи по правилам.
Andrey-advokat Опубликовано 24 ноября, 2013 Автор Опубликовано 24 ноября, 2013 Все сделал как сказали!! AdwCleanerR4.txt info.txt log.txt MBAM-log-2013-11-24 (23-28-48).txt virusinfo_syscheck.zip virusinfo_syscure.zip ссылки.txt
Roman_Five Опубликовано 24 ноября, 2013 Опубликовано 24 ноября, 2013 деинсталлируйте MBAM Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; DeleteFile('C:\Windows\system32\Tasks\At4.job','64'); DeleteFile('C:\Windows\system32\Tasks\At8.job','64'); DeleteFile('C:\Windows\Tasks\At4.job',''); DeleteFile('C:\Windows\Tasks\At8.job',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Сделайте новые логи по правилам.что с начальной проблемой?
Andrey-advokat Опубликовано 24 ноября, 2013 Автор Опубликовано 24 ноября, 2013 Ну вроде все нормально!! Однако проблема повторяется, через каждые 1,5 суток! Какая то виртуальная статистика) очередной раз - был сегодня! Сделал восстановление системы, в очередной раз все нормально! Но уже не просит отправить смс, просто немой экран, ввожу данные, а он никак не реагирует! info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip
Roman_Five Опубликовано 25 ноября, 2013 Опубликовано 25 ноября, 2013 пофиксите в Hijackthis: O17 - HKLM\System\CCS\Services\Tcpip\..\{BAF7FCDF-0D69-45D7-9D01-856304AB2D0F}: NameServer = 37.10.116.200,8.8.8.8 выполните: http://virusinfo.info/showthread.php?t=128635#post948932 http://virusinfo.info/showthread.php?t=128635&p=968385&viewfull=1#post968385 а также: http://virusinfo.info/showthread.php?t=73352&p=601807&viewfull=1#post601807 повторится - делайте новые логи. вручную удалите файлы: C:\Windows\tasks\At4.job C:\Windows\tasks\At8.job C:\Windows\system32\Tasks\At4.job C:\Windows\system32\Tasks\At8.job
Andrey-advokat Опубликовано 25 ноября, 2013 Автор Опубликовано 25 ноября, 2013 Все понял! Спасибо большое! Буду на связи при необходимости!
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти