-
Junior Member
- Вес репутации
- 58
Вирус вконтакте.
Помогите плиз. Каждый день мой антивирь д.р. веб ругается на вирус из разряда флэш. Удаляет его, но после перезагрузке снова...
+ сегодня утром я заходу вконтакте и он мне говорит написать свой номер мобильного. Я пишу. И он присылает код, куда я должен его ввести. Я само собой не ввожу этот код. Зная, что вконтакте такими вещами не занимается. И звоню в справочную смс сервиса. 88001007337.
Они мне сразу говорят. Что у вас вирус. Щас мол пришлем инструкцию как его убрать. Прислал.
Рекомендуют пройти по ссылке ввв.sendspace.com/file/cwakd5
Установить файл Униистал и перезагрузиться. Я че-то не поверил. Все как-то легко. Видимо они заодно в этой лохотронной махинации. Потому боюсь что-то не проверенное запускать.
Посмотрите плиз логи.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\common files\program shared\isass.exe');
QuarantineFile('c:\program files\common files\program shared\isass.exe','');
DeleteFile('c:\program files\common files\program shared\isass.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Глюк остался. При входе вконтакте просит ввести номер сотового для валидизации какой-то...=(
-
Пофиксите в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe
O1 - Hosts: 109.94.220.65 www.vkontakte.ru
O1 - Hosts: 109.94.220.65 www.vk.com
O1 - Hosts: 109.94.220.65 vkontakte.ru
O1 - Hosts: 109.94.220.65 vk.com
O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
O1 - Hosts: 109.94.220.65 odnoklassniki.ru
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Спасибо. Все ок.
Только вот при повторном скане в хаджаке
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Progr am Files\Common Files\Service Share\lsass.exe
Эта команда осталась. Попробовал профиксить ее еще пару раз и даже в безопасном режиме. Не фиксится.
Но глюк прошел. Я вконтакте. =) Спасибо...
Если будет время разобраться с этим F2 - то буду благодарен.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 58
Прошу прощения за то, что с задержкой. Я че-то приболел=(
Выкладываю полный лог
-
- удалите в MBAM
Код:
Заражённые процессы в памяти:
c:\program files\common files\service share\lsass.exe (Spyware.Passwords.XGen) -> 4564 -> No action taken.
Заражённые модули в памяти:
c:\program files\internet explorer\setupapi.dll (Trojan.BHO) -> No action taken.
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Maxthon 1.58 Ru-Board Edition (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055FD26D-3A88-4e15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055FD26D-3A88-4E15-963D-DC8493744B1D} (Trojan.BHO) -> No action taken.
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\Service Share\lsass.exe) Good: (Userinit.exe) -> No action taken.
Заражённые файлы:
c:\program files\common files\service share\lsass.exe (Spyware.Passwords.XGen) -> No action taken.
c:\program files\common files\service share\lsass.exex (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\Temp\2177.exe (Heuristics.Shuriken) -> No action taken.
c:\WINDOWS\Temp\5429.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\Temp\9462.exe (Spyware.Passwords.XGen) -> No action taken.
f:\system volume information\_restore{62983d82-14c6-447d-90f1-c79c1e993b4d}\RP3\A0002511.EXE (Dont.Steal.Our.Software) -> No action taken.
c:\program files\internet explorer\setupapi.dll (Trojan.BHO) -> No action taken.
c:\program files\icqtoolbar\toolbaru.dll (Trojan.BHO) -> No action taken.
- Замените файл C:\WINDOWS\System32\sfcfiles.dll из дистрибутива или отсюда
- Сделайте повторный лог MBAM
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\program shared\\isass.exe - Trojan-Spy.Win32.Zbot.bkjq ( DrWEB: Trojan.Siggen2.26450, BitDefender: Trojan.Generic.KD.190987, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-