"Одноклассники" требуют номер мобильного

**DenSha** · 09.11.2012, 14:06

Доброго дня.
Стартовая страница "одноклассников" на все действия требует номер мобильного. С т.з. ping (врёт) и nslookup (не врёт), у www.odnoklassniki.ru сильно разные адреса. На сайты AV-компаний пускает. Периодически, при запущенном IE, самостоятельно открывается новое окно IE с какой-то информацией по штрафам ГИБДД. Зная уровень пользователей - наверняка не единственная проблема. Логи, по ряду причин, снимались удаленно, с помощью ammyy (AA_V3). До работы AVZ, компьютер проверялся DrWeb CureIt пользователем самостоятельно.
Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.11.2012, 14:07

Уважаемый(ая) DenSha, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 09.11.2012, 16:20

Выполните скрипт в AVZ

Код:

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\2470812FdOh');
 QuarantineFile('C:\Documents and Settings\Владимир\ms.exe','');
 DeleteFile('C:\Documents and Settings\Владимир\ms.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','2470937');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
ExecuteRepair(20);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

**DenSha** · 13.11.2012, 12:04

В карантине только ini-файл. Нужен?

**thyrex** · 13.11.2012, 16:27

Нет, выполняйте все остальное

**DenSha** · 14.11.2012, 14:22

ms.exe появился в windows и windows\system32, но в карантин все-равно не попадает. Снова снял все 3 лога (лечение/карантин/сбор, сбор и hijack). В карантине какой-то msi - отослал...

**thyrex** · 15.11.2012, 00:13

Сделайте лог полного сканирования МВАМ

**DenSha** · 17.11.2012, 14:33

Готово...

**thyrex** · 17.11.2012, 16:36

Удалите в МВАМ только указанные ниже записи

Код:

Обнаруженные ключи в реестре:  3
HKCR\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  5
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop|host (Malware.Trace) -> Параметры: 94.75.210.13 -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop|id (Malware.Trace) -> Параметры: 407875634566 -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_1 (Rootkit.Agent) -> Параметры: ћ›ћЊ—љ‰Њ”†Сњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_2 (Rootkit.Agent) -> Параметры: ћљ—љ“Њ–љСњђ’ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft|option_3 (Rootkit.Agent) -> Параметры: ќћ˜˜љЌ“ћСњђ’РП¬ћ®ј·Ї˜М†’‰§“µСЏ—Џ -> Действие не было предпринято.

Обнаруженные папки:  2
C:\Program Files\Common Files\wm\keys (Trojan.KeyLog) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Действие не было предпринято.

Обнаруженные файлы:  10
C:\Documents and Settings\Владимир\Application Data\lsass.exe (Trojan.Delf) -> Действие не было предпринято.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Действие не было предпринято.

**DenSha** · 19.11.2012, 18:50

Сделал. Неправильный lsass.exe найден не был...

**thyrex** · 19.11.2012, 20:01

Что с проблемой?

**DenSha** · 21.11.2012, 10:14

На одноклассников заходит нормально, спасибо. Считаем, что все - закончили?

**thyrex** · 21.11.2012, 10:22

Именно так

**CyberHelper** · 21.11.2012, 10:32

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

"Одноклассники" требуют номер мобильного (заявка № 126769)

Опции темы

"Одноклассники" требуют номер мобильного

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Антивирусная помощь

Это понравилось:

Итог лечения

Похожие темы

При попытке входа на vk.com вылетает сообщение с требованием ввести номер мобильного и направить смс для валидации

Вконтакте и Одноклассники требуют валидации [HEUR:Trojan.Win32.Generic ]

Контакт и одноклассники требуют Валидацию аккаунта

Mozilla выдает "в системе вирус", вместо сайтов коды, одноклассники с контактом требуют номер телефона...

Появилось окно, требующее перечислить деньги на определенный номер мобильного (заявка №47375)

Метки для этой темы

Ваши права в разделе