Jump to content

Recommended Posts

здравствуйте. у меня появилась небольшая проблема: не все сайты загружаются (ластфм и википедия например) пробовал зайти на недоступные сайты с помощью прокси и всё приспокойно загрузилось...судя по всему троянов нахватал. надеюсь, что мне помогут

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

Link to comment
Share on other sites

Оффтоп
Самый большой враг пользователя - это он сам

Позвольте совет на будущее - есть хорошие программы для лазания на "плохих" сайтах, например, бесплатная Sandboxie ( http://soft.softodrom.ru/ap/Sandboxie-p4879 ), которые организуют отдельную зону на компьютере для общения с интернетом. Почитайте описание в приведенной ссылке

Edited by Old men
Link to comment
Share on other sites

Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - - (no file)O13 - Gopher Prefix: 

Сейчас ничего вредоносного не вижу.

Link to comment
Share on other sites

сделал...

правда сегодня проблем ещё больше появилось...включил компьютер и защитник Винды обнаружил какой-то вирус win32/Daurso.A, я его удалил с помощью того же защитника, перезагрузился, но снова защитник Винды обнаружил этот вирус...потом выяснилось, что я не могу зайти вконтакт, требуют смс активации...решил поискать трояны с помощью KIS07, но ничего не обнаружил...

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

M003117

Очистите кэш браузеров, очистите временные папки и точки восстановления.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('c:\windows\system32\wininit.exe','');QuarantineFile('progman.exe','');QuarantineFile('MIDIDef.exe','');QuarantineFile('C:\Windows\System32\iprip2.dll','');QuarantineFile('C:\Windows\System32\ipbootp.dll','');QuarantineFile('C:\Windows\System32\igmpv2.dll','');QuarantineFile('C:\Users\Rain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iidwin32.exe','');QuarantineFile('C:\Users\Rain\AppData\Local\Temp\winsrv32.exe','');QuarantineFile('C:\Users\Rain\AppData\Local\Temp\4549.tmp','');QuarantineFile('C:\Windows\System32\Drivers\speo.sys','');DeleteFile('C:\Windows\System32\Drivers\speo.sys');DeleteFile('C:\Users\Rain\AppData\Local\Temp\4549.tmp');DeleteFile('C:\Users\Rain\AppData\Local\Temp\winsrv32.exe');DeleteFile('C:\Users\Rain\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iidwin32.exe');DeleteFile('C:\Windows\System32\igmpv2.dll');DeleteFile('C:\Windows\System32\iprip2.dll');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(9);RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

повторите логи

Edited by edde
Link to comment
Share on other sites

доброе утро

пришёл ответ:

Hello,

iidwin32.exe_ - Backdoor.Win32.Bredolab.bai

This file is already detected. Please update your antivirus bases.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

>

>

Please quote all when answering.

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

Отключите восстановление системы, Очистите папку временных файлов, отключите антивирус и другое защитное по, НЕзапускайте другие программы во время работы АВЗ.

Выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\ProgramData\vibohatyw.exe',' ');QuarantineFile('C:\ProgramData\arik.vbs','');DeleteFile('C:\ProgramData\arik.vbs');DeleteFile('C:\ProgramData\vibohatyw.exe');BC_ImportALL;ExecuteSysClean;BC_Activate;ExecuteRepair(6);ExecuteRepair(9);ExecuteRepair(19);RebootWindows(true);end.

Компьютер перезагрузится

После перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файлы карантина отправьте на newvirus@kaspersky.com дождитесь ответа и сообщите результат

Повторите логи.

Как самочувствие больного?

Link to comment
Share on other sites

Hello,

arik.vbs_,

vibohatyw.exe_

No malicious code were found in these files.

Please quote all when answering.

The answer is relevant to the latest bases from update sources.

>

>

Please quote all when answering.

Как самочувствие больного?

*откашлившись и с хрипотой в голосе* вконтакт не зайти :) но! на другой профиль вконтакте заходит и всё нормально...менял на почте пароль, менял и вконтакте пароль... - ничего не изменилось

с дуров.ру тоже не заходит, как только вводишь пароль и почту, то сайт начинает глючить и в итоге всё тот же облом с незаходом

с hosts решил разобраться...в самом файле ничего криминального не было, вот только "писанина" была не такой, какой должна быть, но опять же ничего криминального там не было

...отредактировать файл нельзя было, поэтому я его удалил и создал новый, вписал туда то, что должно быть в hosts, а именно:

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

и ноль...всё тоже самое с контактом...решил поискать в системе ещё один hosts...нашёл некий hosts(2), его я удалил...перезагрузился...здравствуйте, приехали, снова проклятый hosts(2)! удалил hosts (надо ещё отметить, что в хостс2 всё что и должно быть в хостс, то есть всё нормально там с "писаниной"), поменял название hosts(2) на hosts и...всё равно ничего не изменилось - опять появился hosts(2)

...а с другими сайтами полный порядок

log.txtvirusinfo_syscheck.zipvirusinfo_syscure.zip

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Link to comment
Share on other sites

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

____________________________________

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Link to comment
Share on other sites

Удалите ComboFix

Для деинсталяции ComboFix с компьютера необходимо выполнить:

Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"

Combofix-unninstal.JPG

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Надеюсь на этом закончим

Link to comment
Share on other sites

опишите проблему подробнее.

да в принципе и описавать там нечего :)

не зайти мне на свою страничку вконтакте. ввожу почту и пароль -> на пару секунд в адресной строке маячит vk.com, а потом появляется окошко смс активации

менял пароли на почте и вконтакте - результат нулевой

...а на профиль сестры заходит без проблем на всех браузерах, как будто мой профиль заблокирован чем-то

c11b1e0903f0t.jpg

:)

Link to comment
Share on other sites

# Copyright © 1993-2009 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

#127.0.0.1 localhost

# ::1 localhost

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...