Jump to content
СофтФорум - всё о компьютерах и не только

Сначала было слово, и слово было....


Recommended Posts

Сначала было слово, и слово было на странице vkontakte.ru:" Ваш аккаунт заблокирован отправте смс на номер и бла бла бла" Потом со всех основных поисковиков рамблер, яндекс, гуугль, а также с главной страницы одноклассников выкидывало на эту страницу вконтакте, причем адрес стоял верный, а страница не та, внизу кстати было подписано вместо Павел Гуров - Павел Дуров...) Отсканил cureit-ом , убил и установил по новой мазилу, без переноса данных, изменилось только то что теперь на всех этих страницах написано:"This account has been suspended.

Either the domain has been overused, or the reseller ran out of resources.

" вооот такие вот проблемы, по остальным сайтам гоняю без проблем, на почту пришла весточка с вконтакте, что с моего акка спамили, есть подозрение, что эти инженеры в курсе моих поролей, поэтому Хелп ми плиз!!!!

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Link to comment
Share on other sites

Пофиксить в HiJack

 R3 - URLSearchHook: (no name) -  - (no file)R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file)F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) 

Выполните скрипт в AVZ

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\Fonts\RandFont.dll','');QuarantineFile('D:\autorun.inf','');QuarantineFile('C:\WINDOWS\system32\ntos.exe','');QuarantineFile('C:\WINDOWS\services.exe','');DeleteFile('C:\WINDOWS\services.exe');DeleteFile('C:\WINDOWS\system32\ntos.exe');DeleteFile('D:\autorun.inf');RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(13);RebootWindows(true);end. 

Компьютер перезагрузится.

Выполнить скрипт в AVZ.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

Сделайте новые логи

Link to comment
Share on other sites

Женич:

Все что сказал thyrex: сделать надо.

Есть кое-какие мысли, я просто другу от этой проблемы избавлял комп, но метод другой.

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

Link to comment
Share on other sites

Сделайте новые логи

Все работает отлично, спасибо, вам огромное))

Ответ от Касмерского

:Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

С уважением, Татаринов Иван

Вирусный аналитик

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1

Тел./факс: + 7 (495) 797 8700:

Новые логи:

Женич:

Все что сказал thyrex: сделать надо.

Есть кое-какие мысли, я просто другу от этой проблемы избавлял комп, но метод другой.

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

Все вроде исправили, но интересно каким способом можно было помочь еще?)

не могу выложить hosts((( открываю для загрузки, нажимаю Добавить файл, ничего не происходит...

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

А что базы АВЗ то не обновили?

Все вроде исправили, но интересно каким способом можно было помочь еще?)

Так а как ещё, удалили вредоносные файлы, и ненужные записи, которые блокировали нормальную работу.

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

Не получится, т.к. в скрипте этот файл почистили до стандартной записи.

В логе АВЗ там всё есть.

Link to comment
Share on other sites

Женич

Очистка и корректировка файла Hosts в подавляющем большинстве случаев лечение не болезни, а ее симптомов.

Раз у вас нормально работает компьютер, значит он здоров :)

Link to comment
Share on other sites

  • 1 month later...

Выложи сюда содержание файла hosts, который находится в C:\WINDOWS\system32\drivers\etc

У мну таже проблема. В хосте имелась вставка

220.194.54.124 www.vkontakte.ru

220.194.54.124 vkontakte.ru

220.194.54.124 www.yandex.ru

220.194.54.124 yandex.ru

220.194.54.124 www.ya.ru

220.194.54.124 ya.ru

220.194.54.124 www.mail.ru

220.194.54.124 mail.ru

220.194.54.124 www.otvet.mail.ru

220.194.54.124 otvet.mail.ru

220.194.54.124 www.odnoklassniki.ru

220.194.54.124 odnoklassniki.ru

220.194.54.124 www.google.ru

220.194.54.124 google.ru

220.194.54.124 www.rambler.ru

220.194.54.124 rambler.ru

220.194.54.124 www.google.com

220.194.54.124 google.com

220.194.54.124 www.youtube.com

220.194.54.124 youtube.com

220.194.54.124 www.narod.ru

220.194.54.124 narod.ru

220.194.54.124 www.torrents.ru

220.194.54.124 torrents.ru

220.194.54.124 www.zaycev.net

220.194.54.124 zaycev.net

220.194.54.124 www.qip.ru

220.194.54.124 qip.ru

220.194.54.124 www.icq.com

220.194.54.124 icq.com

220.194.54.124 www.loveplanet.ru

220.194.54.124 loveplanet.ru

Вытер, перезагрузился. Вроде заработало. Осталось только авиру удалить сломанную.
Link to comment
Share on other sites

ктисис: изменения в файле hosts это лишь последствия действия зловреда. Рекомендую сделать логи по правилам и создать новую тему. На всякий случай. Для контроля.

Link to comment
Share on other sites

ктисис: изменения в файле hosts это лишь последствия действия зловреда.

Спасибо. Я так, для интересу выложил. Думаю, справлюсь сам.
Рекомендую сделать логи по правилам и создать новую тему. На всякий случай. Для контроля.
Ой, чтой-та я посмотрел их содержание и расхотел публиковать. Не то чтобы я как-то шифровался, но... И не очень понял зачем новая тема по той же ситуации.
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...