Сначала было слово, и слово было....

[Женич]

Сначала было слово, и слово было на странице vkontakte.ru:" Ваш аккаунт заблокирован отправте смс на номер и бла бла бла" Потом со всех основных поисковиков рамблер, яндекс, гуугль, а также с главной страницы одноклассников выкидывало на эту страницу вконтакте, причем адрес стоял верный, а страница не та, внизу кстати было подписано вместо Павел Гуров - Павел Дуров...) Отсканил cureit-ом , убил и установил по новой мазилу, без переноса данных, изменилось только то что теперь на всех этих страницах написано:"This account has been suspended.

Either the domain has been overused, or the reseller ran out of resources.

" вооот такие вот проблемы, по остальным сайтам гоняю без проблем, на почту пришла весточка с вконтакте, что с моего акка спамили, есть подозрение, что эти инженеры в курсе моих поролей, поэтому Хелп ми плиз!!!!

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[thyrex]

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) -  - (no file)R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) 

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\Fonts\RandFont.dll','');QuarantineFile('D:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\services.exe','');DeleteFile('C:\WINDOWS\services.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('D:\autorun.inf');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(13);RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

[Wu-Tang]

Женич:

Все что сказал thyrex: сделать надо.

Есть кое-какие мысли, я просто другу от этой проблемы избавлял комп, но метод другой.

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

[Женич]

Сделайте новые логи

Все работает отлично, спасибо, вам огромное))

Ответ от Касмерского

:Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Татаринов Иван

Вирусный аналитик

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700:

Новые логи:

Женич:

Все что сказал thyrex: сделать надо.

Есть кое-какие мысли, я просто другу от этой проблемы избавлял комп, но метод другой.

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

Все вроде исправили, но интересно каким способом можно было помочь еще?)

не могу выложить hosts((( открываю для загрузки, нажимаю Добавить файл, ничего не происходит...

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[ТроПа]

А что базы АВЗ то не обновили?

Все вроде исправили, но интересно каким способом можно было помочь еще?)

Так а как ещё, удалили вредоносные файлы, и ненужные записи, которые блокировали нормальную работу.

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

Не получится, т.к. в скрипте этот файл почистили до стандартной записи.

В логе АВЗ там всё есть.

[Old men]

Женич

Очистка и корректировка файла Hosts в подавляющем большинстве случаев лечение не болезни, а ее симптомов.

Раз у вас нормально работает компьютер, значит он здоров :)

[Женич]

базы обновил, спасибо еще раз всем за помощь!))

[Wu-Tang]

wise-wistful:

Оффтоп

Тогда смотреть нечего, раз так.

[ктисис]

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

У мну таже проблема. В хосте имелась вставка

220.194.54.124 www.vkontakte.ru

220.194.54.124 vkontakte.ru

220.194.54.124 www.yandex.ru

220.194.54.124 yandex.ru

220.194.54.124 www.ya.ru

220.194.54.124 ya.ru

220.194.54.124 www.mail.ru

220.194.54.124 mail.ru

220.194.54.124 www.otvet.mail.ru

220.194.54.124 otvet.mail.ru

220.194.54.124 www.odnoklassniki.ru

220.194.54.124 odnoklassniki.ru

220.194.54.124 www.google.ru

220.194.54.124 google.ru

220.194.54.124 www.rambler.ru

220.194.54.124 rambler.ru

220.194.54.124 www.google.com

220.194.54.124 google.com

220.194.54.124 www.youtube.com

220.194.54.124 youtube.com

220.194.54.124 www.narod.ru

220.194.54.124 narod.ru

220.194.54.124 www.torrents.ru

220.194.54.124 torrents.ru

220.194.54.124 www.zaycev.net

220.194.54.124 zaycev.net

220.194.54.124 www.qip.ru

220.194.54.124 qip.ru

220.194.54.124 www.icq.com

220.194.54.124 icq.com

220.194.54.124 www.loveplanet.ru

220.194.54.124 loveplanet.ru

Вытер, перезагрузился. Вроде заработало. Осталось только авиру удалить сломанную.

[миднайт]

ктисис: изменения в файле hosts это лишь последствия действия зловреда. Рекомендую сделать логи по правилам и создать новую тему. На всякий случай. Для контроля.

[ктисис]

ктисис: изменения в файле hosts это лишь последствия действия зловреда.

Спасибо. Я так, для интересу выложил. Думаю, справлюсь сам.

Рекомендую сделать логи по правилам и создать новую тему. На всякий случай. Для контроля.

Ой, чтой-та я посмотрел их содержание и расхотел публиковать. Не то чтобы я как-то шифровался, но... И не очень понял зачем новая тема по той же ситуации.