Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

здравствуйте. у меня появилась небольшая проблема: не все сайты загружаются (ластфм и википедия например) пробовал зайти на недоступные сайты с помощью прокси и всё приспокойно загрузилось...судя по всему троянов нахватал. надеюсь, что мне помогут

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Оффтоп
Самый большой враг пользователя - это он сам

Позвольте совет на будущее - есть хорошие программы для лазания на "плохих" сайтах, например, бесплатная Sandboxie ( http://soft.softodrom.ru/ap/Sandboxie-p4879 ), которые организуют отдельную зону на компьютере для общения с интернетом. Почитайте описание в приведенной ссылке

Изменено пользователем Old men
Ссылка на комментарий
Поделиться на другие сайты

Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - - (no file)O13 - Gopher Prefix: 

Сейчас ничего вредоносного не вижу.

Ссылка на комментарий
Поделиться на другие сайты

сделал...

правда сегодня проблем ещё больше появилось...включил компьютер и защитник Винды обнаружил какой-то вирус win32/Daurso.A, я его удалил с помощью того же защитника, перезагрузился, но снова защитник Винды обнаружил этот вирус...потом выяснилось, что я не могу зайти вконтакт, требуют смс активации...решил поискать трояны с помощью KIS07, но ничего не обнаружил...

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

M003117

Очистите кэш браузеров, очистите временные папки и точки восстановления.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\wininit.exe','');QuarantineFile('progman.exe','');QuarantineFile('MIDIDef.exe','');QuarantineFile('C:\Windows\System32\iprip2.dll','');QuarantineFile('C:\Windows\System32\ipbootp.dll','');QuarantineFile('C:\Windows\System32\igmpv2.dll','');QuarantineFile('C:\Users\Rain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iidwin32.exe','');QuarantineFile('C:\Users\Rain\AppData\Local\Temp\winsrv32.exe','');QuarantineFile('C:\Users\Rain\AppData\Local\Temp\4549.tmp','');QuarantineFile('C:\Windows\System32\Drivers\speo.sys','');DeleteFile('C:\Windows\System32\Drivers\speo.sys');DeleteFile('C:\Users\Rain\AppData\Local\Temp\4549.tmp');DeleteFile('C:\Users\Rain\AppData\Local\Temp\winsrv32.exe');DeleteFile('C:\Users\Rain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iidwin32.exe');DeleteFile('C:\Windows\System32\igmpv2.dll');DeleteFile('C:\Windows\System32\iprip2.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(9);RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

повторите логи

Изменено пользователем edde
Ссылка на комментарий
Поделиться на другие сайты

доброе утро

пришёл ответ:

Hello,

iidwin32.exe_ - Backdoor.Win32.Bredolab.bai

This file is already detected. Please update your antivirus bases.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

>

>

Please quote all when answering.

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

cureit обнаружил спам-бота, KIS07 удалил Backdoor.Win32.Bredolab.bai

virusinfo_syscheck.zip virusinfo_syscure.ziplog.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Отключите восстановление системы, Очистите папку временных файлов, отключите антивирус и другое защитное по, НЕзапускайте другие программы во время работы АВЗ.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\ProgramData\vibohatyw.exe',' ');QuarantineFile('C:\ProgramData\arik.vbs','');DeleteFile('C:\ProgramData\arik.vbs');DeleteFile('C:\ProgramData\vibohatyw.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

Повторите логи.

Как самочувствие больного?

Ссылка на комментарий
Поделиться на другие сайты

Hello,

arik.vbs_,

vibohatyw.exe_

No malicious code were found in these files.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

>

>

Please quote all when answering.

Как самочувствие больного?

*откашлившись и с хрипотой в голосе* вконтакт не зайти :) но! на другой профиль вконтакте заходит и всё нормально...менял на почте пароль, менял и вконтакте пароль... - ничего не изменилось

с дуров.ру тоже не заходит, как только вводишь пароль и почту, то сайт начинает глючить и в итоге всё тот же облом с незаходом

с hosts решил разобраться...в самом файле ничего криминального не было, вот только "писанина" была не такой, какой должна быть, но опять же ничего криминального там не было

...отредактировать файл нельзя было, поэтому я его удалил и создал новый, вписал туда то, что должно быть в hosts, а именно:

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

и ноль...всё тоже самое с контактом...решил поискать в системе ещё один hosts...нашёл некий hosts(2), его я удалил...перезагрузился...здравствуйте, приехали, снова проклятый hosts(2)! удалил hosts (надо ещё отметить, что в хостс2 всё что и должно быть в хостс, то есть всё нормально там с "писаниной"), поменял название hosts(2) на hosts и...всё равно ничего не изменилось - опять появился hosts(2)

...а с другими сайтами полный порядок

log.txtvirusinfo_syscheck.zipvirusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

____________________________________

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Ссылка на комментарий
Поделиться на другие сайты

Удалите ComboFix

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Combofix-unninstal.JPG

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Надеюсь на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Проверьтесь этим http://www.secureblog.info/articles/597.html

что-то обнаружилось, но всё равно ноль эффекта :)

сделал логи:

virusinfo_syscheck.zipvirusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

опишите проблему подробнее.

да в принципе и описавать там нечего :)

не зайти мне на свою страничку вконтакте. ввожу почту и пароль -> на пару секунд в адресной строке маячит vk.com, а потом появляется окошко смс активации

менял пароли на почте и вконтакте - результат нулевой

...а на профиль сестры заходит без проблем на всех браузерах, как будто мой профиль заблокирован чем-то

c11b1e0903f0t.jpg

:)

Ссылка на комментарий
Поделиться на другие сайты

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

#127.0.0.1 localhost

# ::1 localhost

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...