Andrey-advokat 0 Опубликовано 22 ноября, 2013 Share Опубликовано 22 ноября, 2013 Не заходит в Вконтакте и Одноклассники! При вводе данных просит отправить смс! Hosts чистил, однако проблема не решилась! Высылаю вам лог полной проверки MBAM и надеюсь на скорое решение моей проблемы! Не заходит в Вконтакте и Одноклассники! При вводе данных просит отправить смс! Hosts чистил, однако проблема не решилась! Высылаю вам лог полной проверки MBAM и надеюсь на скорое решение моей проблемы! Точнее сказать все заработало, но через пару дней, столкнулся с этой же проблемой! Сделал восстановление системы - опять все нормально! Подозрение на червя! Хотелось бы полностью избавиться! MBAM-log-2013-11-22 (22-46-47).txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 ноября, 2013 Share Опубликовано 22 ноября, 2013 Удалите в МВАМ все, кроме C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Андрей\Desktop\патч.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. + выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey-advokat 0 Опубликовано 22 ноября, 2013 Автор Share Опубликовано 22 ноября, 2013 Выполнил все, что сказали! Требуются новые логи от MBAM?? Удалите в МВАМ все, кроме C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab (PUP.Optional.OpenCandy) -> Действие не было предпринято. C:\Users\Андрей\Desktop\патч.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. + выполните http://forum.kasperskyclub.ru/index.php?showtopic=31551 virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 ноября, 2013 Share Опубликовано 22 ноября, 2013 Требуются новые логи от MBAM? да. деинсталлируйте WebConnect 3.0.0 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; SetServiceStart('MpKslab401d6c', 4); SetServiceStart('biyittrj', 4); SetServiceStart('qbitoqhk', 4); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\dq3eytff.exe',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\1525346',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\129687312',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\913264563aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\39074085aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\85531510aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\12106722aq',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\253635613aq',''); QuarantineFile('C:\Windows\system32\drivers\biyittrj.sys',''); QuarantineFile('MpKslab401d6c.sys',''); QuarantineFile('C:\Windows\system32\drivers\qbitoqhk.sys',''); QuarantineFile('C:\Users\Андрей\5663400.exe',''); QuarantineFile('C:\Users\A4F7~1\AppData\Local\Temp\1dftrh6y5et4wef.exe',''); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\1dftrh6y5et4wef.exe','32'); DeleteFile('C:\Users\Андрей\5663400.exe','32'); DeleteFile('C:\Windows\system32\drivers\qbitoqhk.sys','32'); DeleteFile('C:\Windows\system32\drivers\biyittrj.sys','32'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\253635613aq','32'); DeleteFile('C:\Windows\system32\Tasks\At1.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\12106722aq','32'); DeleteFile('C:\Windows\system32\Tasks\At2.job','64'); DeleteFile('C:\Windows\system32\Tasks\At3.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\85531510aq','32'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\39074085aq','32'); DeleteFile('C:\Windows\system32\Tasks\At4.job','64'); DeleteFile('C:\Windows\system32\Tasks\At5.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\913264563aq','32'); DeleteFile('C:\Windows\system32\Tasks\At6.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\129687312','32'); DeleteFile('C:\Windows\system32\Tasks\At7.job','64'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\1525346','32'); DeleteFile('C:\Users\A4F7~1\AppData\Local\Temp\dq3eytff.exe','32'); DeleteFile('C:\Windows\system32\Tasks\back.job','64'); DeleteFile('C:\Windows\system32\Tasks\At1','64'); DeleteFile('C:\Windows\system32\Tasks\At2','64'); DeleteFile('C:\Windows\system32\Tasks\At3','64'); DeleteFile('C:\Windows\system32\Tasks\At4','64'); DeleteFile('C:\Windows\system32\Tasks\At6','64'); DeleteFile('C:\Windows\system32\Tasks\At5','64'); DeleteFile('C:\Windows\system32\Tasks\At7','64'); DeleteFile('C:\Windows\system32\Tasks\back','64'); DeleteService('MpKslab401d6c'); DeleteService('biyittrj'); DeleteService('qbitoqhk'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Для создания архива с карантином выполните скрипт:begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end.Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).В строке "Электронный адрес:" укажите адрес своей электронной почты.Полученный ответ сообщите в этой теме.Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gigra.org O2 - BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files (x86)\WebConnect\WebConnectbho.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing) после уточнения у провайдера правильных адресов DNS пофиксите также: O17 - HKLM\System\CCS\Services\Tcpip\..\{68978C42-C72C-4A08-B255-72835F3E8A99}: NameServer = 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 если пропадёт доступ в интернет - пропишите правильные DNS Сделайте новые логи по правилам (не забудьте обновить базы AVZ!) . + Сделайте лог AdwCleanerhttp://safezone.cc/forum/showthread.php?t=19726 Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey-advokat 0 Опубликовано 23 ноября, 2013 Автор Share Опубликовано 23 ноября, 2013 Все пофиксил, как сказали! Вот новые логи! Жду дальнейших указаний! AdwCleanerR0.txt info.txt log.txt MBAM-log-2013-11-23 (17-20-59).txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 23 ноября, 2013 Share Опубликовано 23 ноября, 2013 Удалите в MBAM: Обнаруженные файлы: 6 C:\Users\Андрей\AppData\Local\Opera\Opera\cache\g_0007\opr000Q1.tmp (PUP.Optional.InstallCore) -> Действие не было предпринято. C:\Users\Андрей\AppData\Local\Opera\Opera\temporary_downloads\adwcleaner-3-012-es-en-br-fr-de-win-setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято. C:\Users\Андрей\AppData\Local\Temp\ICReinstall_adwcleaner-3-012-es-en-br-fr-de-win-setup.exe (PUP.Optional.InstallCore) -> Действие не было предпринято. новый лог приложите проверьте на virustotal.com следующие файлы: C:\Users\Андрей\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab C:\Users\Андрей\Desktop\патч.exe D:\FIFA 13.v 1.5.0.0 + 1 DLC\Game\rld.dll 3 ссылки на результаты проверки приложите. Запустите ещё раз проверку в AdwCleaner и после её окончания нажмите Clean новый лог после перезагрузки приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; DeleteFile('C:\Windows\Tasks\At1.job','64'); DeleteFile('C:\Windows\Tasks\At2.job','64'); DeleteFile('C:\Windows\Tasks\At3.job','64'); DeleteFile('C:\Windows\Tasks\At5.job','64'); DeleteFile('C:\Windows\Tasks\back.job','64'); DeleteFile('C:\Windows\Tasks\Dealply.job','64'); DeleteFile('C:\Windows\Tasks\At7.job','64'); DeleteFile('C:\Windows\Tasks\At6.job','64'); DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64'); DeleteFile('C:\Windows\system32\Tasks\Dealply','64'); DeleteFile('C:\Windows\system32\Tasks\DSite','64'); DeleteFileMask('C:\Windows\Tasks\ ','At?.job ',true ,' '); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.Сделайте новые логи по правилам. Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey-advokat 0 Опубликовано 24 ноября, 2013 Автор Share Опубликовано 24 ноября, 2013 Все сделал как сказали!! AdwCleanerR4.txt info.txt log.txt MBAM-log-2013-11-24 (23-28-48).txt virusinfo_syscheck.zip virusinfo_syscure.zip ссылки.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 24 ноября, 2013 Share Опубликовано 24 ноября, 2013 деинсталлируйте MBAM Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; DeleteFile('C:\Windows\system32\Tasks\At4.job','64'); DeleteFile('C:\Windows\system32\Tasks\At8.job','64'); DeleteFile('C:\Windows\Tasks\At4.job',''); DeleteFile('C:\Windows\Tasks\At8.job',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.После выполнения скрипта компьютер перезагрузится.Сделайте новые логи по правилам.что с начальной проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey-advokat 0 Опубликовано 24 ноября, 2013 Автор Share Опубликовано 24 ноября, 2013 Ну вроде все нормально!! Однако проблема повторяется, через каждые 1,5 суток! Какая то виртуальная статистика) очередной раз - был сегодня! Сделал восстановление системы, в очередной раз все нормально! Но уже не просит отправить смс, просто немой экран, ввожу данные, а он никак не реагирует! info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 25 ноября, 2013 Share Опубликовано 25 ноября, 2013 пофиксите в Hijackthis: O17 - HKLM\System\CCS\Services\Tcpip\..\{BAF7FCDF-0D69-45D7-9D01-856304AB2D0F}: NameServer = 37.10.116.200,8.8.8.8 выполните: http://virusinfo.info/showthread.php?t=128635#post948932 http://virusinfo.info/showthread.php?t=128635&p=968385&viewfull=1#post968385 а также: http://virusinfo.info/showthread.php?t=73352&p=601807&viewfull=1#post601807 повторится - делайте новые логи. вручную удалите файлы: C:\Windows\tasks\At4.job C:\Windows\tasks\At8.job C:\Windows\system32\Tasks\At4.job C:\Windows\system32\Tasks\At8.job Цитата Ссылка на сообщение Поделиться на другие сайты
Andrey-advokat 0 Опубликовано 25 ноября, 2013 Автор Share Опубликовано 25 ноября, 2013 Все понял! Спасибо большое! Буду на связи при необходимости! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.