Вирус(System.exe?) связывается с вредоносным сайтом из цифр 111.2222.33.123
Закрыл липовое сообщение из одноклассников, комп в течение 3-х секунд перезагрузился. Появился WinLock, который я удалил так: зажал контр-альт-делет на долго, появился диспетчер задач. Я запустил CureIt, ВинЛок снялся. Но обнаружилась потом еще масса вирусов:
1) Троян-маячок - вы выиграли бонус 15 минут и 50смс - половина сайтов не грузилась, половина была в форме кода и нетипичном отображении. Теперь сайты отображаются нормально, но некоторые всетаки не грузятся и на вкладке сайтов пропадает их изображение/значок
2) В контакте - переходил на поддельную страницу с требованием ввести свой номер для безопасности, т.к кто-то ввел пароль неверно 12 раз - эту проблему вроде бы решил, попаданий на сайты подделок вновь не происходило(в течение 1 дня).
3) в диспетчере задач дежурит процесс system.exe, который не удаляется или мгновенно появляется снова - прочитал, что это очень опасный шпион, делающий скрины и снимающий нажатие клавиш, отправляющий данные злоумышленникам.
4) При запуске браузера Опера MBAM выдает сообщение о прерывании попыток связаться с вредоносными сайтами из цифр на подобии 197.248.325 - не точно, но смысл такой.
5) безопасный режим отказывается работать, выполнял указанные в АВЗ скрипты по восстановлению работы безопасного режима и твик №12 в UVC, ничего не помогло(наверно вирус блокирует?)
Проверки проводил в:
AVG 2012-не находит абсолютно ничего
CureIt-обнаруживал вредоносные процессы
АВЗ, UVC и MBAM в совокупности при первых проверках нашли трояны и подозрительные процессы, удалил их, в последующем - все чисто, вирусов не находят, только подозрительные процессы.
При выполнении скрипта по лечению и сбору в АВЗ zip файла не выдал, но прилагаю текстовый вариант и фото просмотра протокола, где нашлись таки вирусы.
Так же прилагаю лог MBAM, так как по темам вижу, что часто просят тоже его сделать
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Kryptic Knight, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполнил, не помогло.
При повторном сканировании HiJeck эти два процесса не обнаруживаются.
MBAM продолжает выдавать сообщения о попытках связаться с вредоносным сайтом.
Что заметил: кажется при открытии какой-либо новой страницы происходит эта попытка. Открываешь страницу - получаешь уведомление.
Есть проблемы с попаданием на некоторые сайты (обычного содержания - например справки по вирусам и процессам), но при отключении антивирусов браузер сразу на них заходит.
Для уверенности высылаю повторно логи сканирования.
По поводу обращения MBAM - поискал информацию, я так понимаю - это сайты с рекламой. Прилагаю ссылки http://1whois.ru/?url=195.68.160.185http://ip2geolocation.com/?ip=195.68.160.185
Если ничего подозрительного в логах не содержится, тогда вроде бы все, более никаких проблем не наблюдается.
- - - Updated - - -
Прочитал в другой теме на вашем сайте - человек тоже решал проблему, как моя - постоянное обращение MBAM с предупреждением о попытках доступа к вредоносным сайтам. В итоге пришли к выводу, что при каждом новом открытии сайта MBAM ссылается на IP этого сайта - что он вредоносный. Получается, что это сама программа такая - в каждом сайте видит потенциальную угрозу???
Я уже неделю вечерами и все свободное время занимаюсь тем, что читаю про эти вирусы и эти ссылки на вредоносные сайты. Выполнил скрипты с других форумов, но не помогает. И там тоже говорят, что для MBAM это норма.
Уже раз по 20 запускал всякие возможные проверки, скриптов выполнил гору.
Очень надеюсь, что в моих последних логах нет ничего опасного и вредного. Огромная благодарность хэлперам, без вас у меня до сих пор бы инет был в коде, не открывающиеся страницы.
С нетерпением жду анализа логов
- - - Updated - - -
Выяснилось следующее - процессы опять появились:
Пофиксите в Hijack
Код:
F2 - REG:system.ini: Shell=E:\WINDOWS\EXPLORER.EXE
F2 - REG:system.ini: UserInit=E:\WINDOWS\SYSTEM32\USERINIT.EXE
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: