нужна помощь

[M003117]

здравствуйте. у меня появилась небольшая проблема: не все сайты загружаются (ластфм и википедия например) пробовал зайти на недоступные сайты с помощью прокси и всё приспокойно загрузилось...судя по всему троянов нахватал. надеюсь, что мне помогут

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

[Old men]

Оффтоп

Самый большой враг пользователя - это он сам

Позвольте совет на будущее - есть хорошие программы для лазания на "плохих" сайтах, например, бесплатная Sandboxie ( http://soft.softodrom.ru/ap/Sandboxie-p4879 ), которые организуют отдельную зону на компьютере для общения с интернетом. Почитайте описание в приведенной ссылке

Изменено 8 ноября, 2009 пользователем Old men

[akoK]

Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - - (no file)O13 - Gopher Prefix: 

Сейчас ничего вредоносного не вижу.

[M003117]

сделал...

правда сегодня проблем ещё больше появилось...включил компьютер и защитник Винды обнаружил какой-то вирус win32/Daurso.A, я его удалил с помощью того же защитника, перезагрузился, но снова защитник Винды обнаружил этот вирус...потом выяснилось, что я не могу зайти вконтакт, требуют смс активации...решил поискать трояны с помощью KIS07, но ничего не обнаружил...

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

M003117

Очистите кэш браузеров, очистите временные папки и точки восстановления.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\wininit.exe','');QuarantineFile('progman.exe','');QuarantineFile('MIDIDef.exe','');QuarantineFile('C:\Windows\System32\iprip2.dll','');QuarantineFile('C:\Windows\System32\ipbootp.dll','');QuarantineFile('C:\Windows\System32\igmpv2.dll','');QuarantineFile('C:\Users\Rain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iidwin32.exe','');QuarantineFile('C:\Users\Rain\AppData\Local\Temp\winsrv32.exe','');QuarantineFile('C:\Users\Rain\AppData\Local\Temp\4549.tmp','');QuarantineFile('C:\Windows\System32\Drivers\speo.sys','');DeleteFile('C:\Windows\System32\Drivers\speo.sys');DeleteFile('C:\Users\Rain\AppData\Local\Temp\4549.tmp');DeleteFile('C:\Users\Rain\AppData\Local\Temp\winsrv32.exe');DeleteFile('C:\Users\Rain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iidwin32.exe');DeleteFile('C:\Windows\System32\igmpv2.dll');DeleteFile('C:\Windows\System32\iprip2.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(9);RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

повторите логи

Изменено 9 ноября, 2009 пользователем edde

[M003117]

доброе утро

пришёл ответ:

Hello,

iidwin32.exe_ - Backdoor.Win32.Bredolab.bai

This file is already detected. Please update your antivirus bases.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

>

>

Please quote all when answering.

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Скачайте http://www.freedrweb.com/cureit/ и повторите логи. ICQToolBar сильно нужен, если не очень - удалите.

[M003117]

cureit обнаружил спам-бота, KIS07 удалил Backdoor.Win32.Bredolab.bai

virusinfo_syscheck.zip virusinfo_syscure.ziplog.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

[edde]

Отключите восстановление системы, Очистите папку временных файлов, отключите антивирус и другое защитное по, НЕзапускайте другие программы во время работы АВЗ.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\ProgramData\vibohatyw.exe',' ');QuarantineFile('C:\ProgramData\arik.vbs','');DeleteFile('C:\ProgramData\arik.vbs');DeleteFile('C:\ProgramData\vibohatyw.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

Повторите логи.

Как самочувствие больного?

[M003117]

Hello,

arik.vbs_,

vibohatyw.exe_

No malicious code were found in these files.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

>

>

Please quote all when answering.

Как самочувствие больного?

*откашлившись и с хрипотой в голосе* вконтакт не зайти :) но! на другой профиль вконтакте заходит и всё нормально...менял на почте пароль, менял и вконтакте пароль... - ничего не изменилось

с дуров.ру тоже не заходит, как только вводишь пароль и почту, то сайт начинает глючить и в итоге всё тот же облом с незаходом

с hosts решил разобраться...в самом файле ничего криминального не было, вот только "писанина" была не такой, какой должна быть, но опять же ничего криминального там не было

...отредактировать файл нельзя было, поэтому я его удалил и создал новый, вписал туда то, что должно быть в hosts, а именно:

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

и ноль...всё тоже самое с контактом...решил поискать в системе ещё один hosts...нашёл некий hosts(2), его я удалил...перезагрузился...здравствуйте, приехали, снова проклятый hosts(2)! удалил hosts (надо ещё отметить, что в хостс2 всё что и должно быть в хостс, то есть всё нормально там с "писаниной"), поменял название hosts(2) на hosts и...всё равно ничего не изменилось - опять появился hosts(2)

...а с другими сайтами полный порядок

log.txtvirusinfo_syscheck.zipvirusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

____________________________________

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[M003117]

Gmer.log ComboFix.log

Gmer.log

ComboFix.log

[edde]

Удалите ComboFix

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Надеюсь на этом закончим

[M003117]

хм, с меню пуска почему-то исчезла кнопка "выполнить"...

не удаляется комбофикс :g:

[edde]

Пкм на панели задач \ свойства \ меню пуск \ настроить \ поставьте галочку напротив команда выполнить.

[M003117]

спасибо

mbam_log_2009_11_14__22_30_54_.txt

mbam_log_2009_11_14__22_30_54_.txt

[edde]

Как себя чувствуем?

[M003117]

с контактом та же история, что и была...чертовщина какая-то :)

[edde]

Повторите логи авз в безопасном режиме, но больше у вас ничего пока не видно, чисто.

[thyrex]

Проверьтесь этим http://www.secureblog.info/articles/597.html

[M003117]

Проверьтесь этим http://www.secureblog.info/articles/597.html

что-то обнаружилось, но всё равно ноль эффекта :)

сделал логи:

virusinfo_syscheck.zipvirusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[edde]

Не к чему пока придраться, очистите кэш браузера, очистите куки, опишите проблему подробнее.

[M003117]

опишите проблему подробнее.

да в принципе и описавать там нечего :)

не зайти мне на свою страничку вконтакте. ввожу почту и пароль -> на пару секунд в адресной строке маячит vk.com, а потом появляется окошко смс активации

менял пароли на почте и вконтакте - результат нулевой

...а на профиль сестры заходит без проблем на всех браузерах, как будто мой профиль заблокирован чем-то

:)

[edde]

Выложите hosts

[M003117]

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

#127.0.0.1 localhost

# ::1 localhost