Подмена "Одноклассников" на ноутбуке

[zyablik]

Принесли ноутбук. Не могут зайти в одноклассники. Поменял антивирус (Яндекс-версия Касперского), обновил, проверил (был троян). Почистил немного, включая браузеры. Прогнал AVZ (Мастер устранения...). Но, как и прежде они, при попытке зайти в одноклассники (заходил уже через свой аккаунт) пишет: мол, вы взломаны (заблокированы?), шлите SMS и т.д. Причем только при правильных логине и пароле такое пишет. Так что с другого компа (с любого другого могу) срочно поменял пароль в одноклассниках, разумеется.
Что там сидит -- не пойму.
Спасибо.

virusinfo_syscure.zip virusinfo_syscheck.zip info.txt log.txt

Предложить им заходить с другого компа пока не успел. Надо спросить по телефону 

Изменено 24 декабря, 2013 пользователем zyablik

[mike 1]

Здравствуйте!

 

Закройте все программы

 

Отключите

- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

 

1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('C:\Windows\Temp\1782890aq','');
 QuarantineFile('C:\Windows\Temp\519281aq','');
 QuarantineFile('C:\Windows\Temp\510187aq','');
 QuarantineFile('C:\Windows\Temp\508781aq','');
 QuarantineFile('C:\Windows\Temp\1035875aq','');
 QuarantineFile('C:\Windows\Temp\2445234aq','');
 QuarantineFile('C:\Windows\Temp\2691875aq','');
 QuarantineFile('C:\Windows\Temp\3271531aq','');
 QuarantineFile('C:\Windows\Temp\2221859aq','');
 DeleteFile('C:\Windows\Tasks\At1.job','32');
 DeleteFile('C:\Windows\Temp\2221859aq','32');
 DeleteFile('C:\Windows\Tasks\At2.job','32');
 DeleteFile('C:\Windows\Temp\3271531aq','32');
 DeleteFile('C:\Windows\Tasks\At3.job','32');
 DeleteFile('C:\Windows\Temp\2691875aq','32');
 DeleteFile('C:\Windows\Tasks\At4.job','32');
 DeleteFile('C:\Windows\Temp\2445234aq','32');
 DeleteFile('C:\Windows\Tasks\At5.job','32');
 DeleteFile('C:\Windows\Temp\1035875aq','32');
 DeleteFile('C:\Windows\Tasks\At6.job','32');
 DeleteFile('C:\Windows\Temp\508781aq','32');
 DeleteFile('C:\Windows\Tasks\At7.job','32');
 DeleteFile('C:\Windows\Temp\510187aq','32');
 DeleteFile('C:\Windows\Tasks\At8.job','32');
 DeleteFile('C:\Windows\Temp\519281aq','32');
 DeleteFile('C:\Windows\Tasks\At9.job','32');
 DeleteFile('C:\Windows\Temp\1782890aq','32');
 DeleteFile('C:\Windows\system32\Tasks\At1','32');
 DeleteFile('C:\Windows\system32\Tasks\At2','32');
 DeleteFile('C:\Windows\system32\Tasks\At3','32');
 DeleteFile('C:\Windows\system32\Tasks\At4','32');
 DeleteFile('C:\Windows\system32\Tasks\At5','32');
 DeleteFile('C:\Windows\system32\Tasks\At6','32');
 DeleteFile('C:\Windows\system32\Tasks\At7','32');
 DeleteFile('C:\Windows\system32\Tasks\At8','32');
 DeleteFile('C:\Windows\system32\Tasks\At9','32');                  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);    
BC_Activate;   
 ExecuteRepair(13);     
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

2. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - (no file)

 

3. Удалите драйвер расширенного мониторинга процессов AVZPM.

 

4. Сделайте новые логи AVZ

 

5. Сделайте новые логи RSIT

 

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве

 

7. Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. 

 

 

[zyablik]

Wow, mom Baker!   
Спасибо, приступим!
---
Первый скрипт выполнил, перезагрузил. Карантин отправил.
Кстати говоря, одноклассники уже открываются. Грешным делом, я вообще забыл, что там передний интерфейс поменялся (у меня-то -- тоже грех -- пароль сохраненный, и я переднюю стр. не видел), а на ноуте висел старый. Балда. Хотя то, что подмена, было ясно...
А вот HiJackThis скачать не могу -- пишет, что туда вход ограниченный (см.ниже*). Нет другого места, откуда скачать свежее (поискал -- везде старье)?
Спутник@Mail.Ru самолично удалял утром...
Реестр глянул -- webalt'ы много...
Нашел здесь. Вроде, сентябрьский. Пофиксил, причем все указанное присутствовало. 
Логи новые: virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt
---

Целый час ждал, пока MBAM прогонит. Но конца-края не видать: пришлось остановить. В первые 5 минут 4 чего-то-там нашел, и более не росло их кол-во. Почему я остановил? Увы, по невнимательности поставил пробную. Пытался переустановить, но уже галочки нужной не было. Пустил так. Думаю, раз так долго, и смысла от демки нет. К тому же: вечером хотел вернуть ноут. Может, погоняю малость.
Но хотел попросить, что мне с этими MBAM'овскими обнаружениями делать (MBAM-log-2013-12-24 (17-33-34).txt)? Спасибо.
Да и тема, похоже, исчерпана.

---

*) Уважаемые пользователи! Мы приносим свои извинения, но доступ к запрашиваемому ресурсу ограничен.Возможные причины ограничения доступа: Доступ ограничен  по решению суда или по иным основаниям, установленным законодательством Российской Федерации.Сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», включен в Единый Реестр доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено. Проверить наличие сетевого адреса в Едином реестре можно в разделе «Просмотр реестра» на сайте www.zapret-info.gov.ru. Сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», включен в Реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», сод хотел вернутьержащие информацию, распространяемую с нарушением исключительных прав. Проверить наличие сетевого адреса в Реестре можно в разделе «Просмотр реестра» на сайте nap.rkn.gov.ru.

Изменено 24 декабря, 2013 пользователем zyablik

[mike 1]

1. Драйвер расширенного мониторинга процессов AVZPM удалите. Все еще актуально.

 

2. MBAM нужен полный лог сканирования. Если активировали пробную версию, то ничего страшного.

 

3. Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда. Тоже актуально.

 

 

[zyablik]

1. Драйвер расширенного мониторинга процессов AVZPM удалите. 

Удалил еще на работе. Дома теперь сижу с этим ноутом  ...

 

2. MBAM нужен полный лог сканирования.

Сейчас запущу 

Да. Лаборатория что-то не приняла (?) что ли карантин:

 

От: newvirus@kaspersky.com

Отправлено: 24 декабря 2013 г. 15:07

Кому: zyablik@pop3.ru

Тема: Re: [??Probable spam] [VirLabSRF][Malicious file

analysis][M:1][LN:RU][L:0] [KLAN-1293545870]

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab  This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

Your attachment was not received. Probably your problem files were cut off on a mail server during delivering.  To avoid this problem you need to place your files in password protected archive (password 'infected' without quotes) and send it again.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

--------------------------------------------------------------------------------

From: zyablik@pop3.ru

Sent: 12/24/2013 11:05:10 AM

To: newvirus@kaspersky.com

Subject: [??Probable spam] [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]

LANG: ru

email: zyablik@pop3.ru

description:

Выполняется запрос хэлпера

Загруженные файлы:

quarantine.zip

[thyrex]

Ждем запрошенные логи

[zyablik]

Полный лог MBAM: MBAM-log-2013-12-24 (21-53-14).txt (правда, по маршруту лог не нашел, поэтому сам создал -- забыл сказать). Вообще, не все хоца удалить-то: комп чужой... Да. Не закрыл еще MBAM -- может за сегодня что-то успеем. Утром отдал бы этот ноут, а?
A AVZ по-прежнему находит эти webalta! Вот зараза: Export.txt. Что непонятно. Удалил все, что было (пока не закрыл). Есть толк?

Изменено 24 декабря, 2013 пользователем zyablik

[thyrex]

Удалите в МВАМ только указанные ниже записи

Обнаруженные ключи в реестре: 3
HKCR\CLSID\{A6FEED89-3BCD-4D19-9DC2-3E613A80A2A4} (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\AmiBs.Installer.1 (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\AmiBs.Installer (PUP.Optional.Amonetize.A) -> Действие не было предпринято.

[zyablik]

 

Удалите в МВАМ только указанные ниже записи

Обнаруженные ключи в реестре: 3
HKCR\CLSID\{A6FEED89-3BCD-4D19-9DC2-3E613A80A2A4} (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\AmiBs.Installer.1 (PUP.Optional.Amonetize.A) -> Действие не было предпринято.
HKCR\AmiBs.Installer (PUP.Optional.Amonetize.A) -> Действие не было предпринято.

Удалил только эти 3. И лог тут же всплыл, там где надо. Уже не надо. Сейчас перезагружу и еще раз реестр на webalt'у проверю.

Изменено 24 декабря, 2013 пользователем zyablik

[zyablik]

Да, AVZ в реестре больше вебалты не находит   .

Всем спасибо.  
Вопрос не по существу теперь. Может ли то, что было, самостоятельно аннулировать аккаунт в одноклассниках? Я-то захожу с рассматриваемого ноутбука нормально. А вот их аккаунт (E-Mail как логин и пароль), судя по ответу одноклассников, уже не существует.

----------
Была переписка (т.е. еще 20 декабря аккаунт существовал /?/) — мне она показалась странной (извиняюсь за длинную цитату):

От кого: mobile@odnoklassniki.ru <mobile@odnoklassniki.ru> 

Кому: <ems***1960@bk.ru 20 декабря, 20:21 *** Это письмо сформировано автоматически, отвечать на него не нужно *** Дата регистрации заявки: 2013-12-20 16:21:46 GMT.Тема: «Мобильная версия: Проблема с восстановлением доступа». Номер вашей заявки: 2013122010******. Уважаемый пользователь!Ваша заявка зарегистрирована.Мы постараемся ответить в течение 24 часов, но в исключительных случаях может потребоваться до 72 часов.

Благодарим за понимание, и за то, что вы с нами! ВНИМАНИЕ! Просьба при ответах не изменять тему письма и присвоенный заявке номер.С уважением, Служба поддержки пользователей Одноклассники.

-----------

От кого: "mobile@odnoklassniki.ru" <mobile@odnoklassniki.ru>  Кому: ems***1960@bk.ru 20 декабря, 22:26

Уважаемый пользователь, Если вы

- забыли логин, попробуйте в качестве логина указать адрес электронной почты или номер мобильного телефона, ранее зарегистрированный в вашем профиле;

- забыли пароль, воспользуйтесь формой «Забыли пароль?» на главной странице Одноклассников.

Если вам так и не удалось самостоятельно восстановить доступ к своей страничке, пожалуйста, предоставьте нам информацию, указанную в вашем профиле:

1. Логин (пароль не требуется).

2. Личные данные: имя, фамилия, возраст, город и страна.

3. Номер телефона и почтовый адрес, указанные в настройках профиля.

4. Короткая ссылка на ваш профиль (ссылка на профиль должна иметь вид: http://odnoklassniki.ru/#/profile/123456789).

5. Дата создания профиля.

6. Когда вы заходили на Одноклассники в последний раз?

7. Когда вы последний раз меняли личные данные в профиле? Какую информацию

вы меняли?

8. Приобретали ли вы платные услуги? Какие? Каким способом вы их оплачивали?

Кроме того, нам потребуется ваша фотография на фоне переписки со Службой поддержки.

Для этого:

1.откройте переписку со Службой поддержки;

2. сядьте рядом с устройством, на котором открыта переписка;

3. попросите сфотографировать вас.

Чтобы открыть переписку со Службой поддержки, вы можете использовать компьютер, ноутбук, любое мобильное устройство или планшет. На фотографии должно быть отчетливо видно ваше лицо и номер заявки (письма) от наших специалистов.

Фотографию отправляйте, пожалуйста, по электронной почте, приложив файлом к этому письму. 

P.S. Во избежание дополнительных вопросов, пожалуйста, не стирайте историю переписки в конце письма.

С уважением,Денис, Служба поддержки пользователей Одноклассники

20.12.2013 20:21 (+4) - ems****1960@bk.ru написал(а):

Дата: 20.12.2013 20:11

Имя: ************ *********

Цель обращения: Мобильная версия

Тема обращения: Проблема с восстановлением доступа

Контактный e-mail: ems****1960@bk.ru

-------------------------------------------------------------

Не могу войти на сайт. Почтой пользуюсь, верный логин. С ним и зарегистрирована на

сайте.  но при входе появляется сообщение, что пароль или логин неверный Host: srvk688

User-Agent: Mozilla/5.0 (Linux; U; Android 3.2; ru-ru; GT-P7300 Build/HTJ85B)

AppleWebKit/534.13 (KHTML, like Gecko) Version/4.0 Safari/534.13

IP: 83.149.41.234

Device: noapp: 7, Version: 0, Features: 

Application version: unknown

Изменено 25 декабря, 2013 пользователем zyablik

[mike 1]

Сомневаюсь так как был изменен только Hosts файл. 

 

Сделайте еще лог MiniToolBox по этой http://safezone.cc/threads/kak-podgotovit-log-minitoolbox.18205/ инструкции

Изменено 26 декабря, 2013 пользователем mike 1