Показано с 1 по 20 из 20.

Вирус "Антиштраф", блокирующий Вконтакте и портящий hosts.exe (заявка № 126865)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42

    Вирус "Антиштраф", блокирующий Вконтакте и портящий hosts.exe

    Столкнулась с той же проблемой, что и в этих темах:

    http://virusinfo.info/showthread.php?t=126848&

    http://virusinfo.info/showthread.php?t=126853

    http://virusinfo.info/showthread.php?t=126801

    Касперский находит вирус Trojan, после перезагрузки вирус снова на месте.
    DR. Web его не видит. Avast не хочет запускаться.

    Я поняла, что вы - единственная надежда. У вас замечательный сайт, все очень понятно и толково написано, очень надеюсь на вас - вы уже стольким реально помогли!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Sveta11, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Windows\AppPatch\twdonsi.exe','');
     SetServiceStart('newdriver', 4);
     DeleteService('newdriver');
     QuarantineFile('C:\Windows\xored.sys','');
     DeleteFile('C:\Windows\xored.sys');
     DeleteFile('C:\Windows\AppPatch\twdonsi.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Большое спасибо за рекомендации!
    Скрипт выполнила, новые логи сделала. Папка карантин пустая.

    Логи RSIT сейчас вышлю.

    - - - Добавлено - - -

    Скажите пожалуйста, почему после работы AVZ полетел Касперский, несмотря на то, что я перезагружала систему? Я так поняла придется его удалять и заново ставить))
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    C:\ProgramData\0ulUgdGiYMM удалите вручную

    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    В C:\ProgramData нет такого файла (отображение скрытых включено).
    Поиск выдает log.txt сделанный с помощью RSIT
    Там есть строчка:
    2012-11-11 00:57:49 ----SHD---- C:\ProgramData\0ulUgdGiYMM

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Все верно, это папка с атрибутами "скрытая, системная". Показ таких файлов и папок в системе установлен?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Пока искала где галочку поставить, чтобы папку сделать видимой, вирус опять - тут как тут.

    - - - Добавлено - - -

    Скрипт в AVZ выполнила, вирус на месте, vk.com не работает.
    Hosts.exe я каждый раз чищу вручную.

    Новые логи.
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteFile('C:\Users\836D~1\AppData\Local\Temp\109091436FdOh');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','109091904');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Очистите куки и кэш браузеров

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Вы знаете! Я все сделала как вы написали, но вирус снова попал на компьютер в новой модификации.
    Я так понимаю, что удалить его полностью нереально и онсамовосстанавливается и так и будет появляться каждые 3-5 дней до конца жизни моей системы.
    Скажите: неужели ничего нельзя сделать? Я вручную чищу hosts.exe, лечу avast и avz, выполняю скрпит и постоянно чищу куки но после перезагрузки все на месте и вирус и злополучная папка C:\ProgramData\0ulUgdGiYMM и испорченный hosts.exe.

    - - - Добавлено - - -

    Еще следует отметить, что лекарство Dr. Web. я скачать не могу. Вирус блокирует скачивание данной утилиты. А Avast практически не лечит вирус, если и удаляет - то только часть и толку от этого нет.

    - - - Добавлено - - -

    Прошлый раз я лечила утилитой eScan и вирус перестал подавать признаки жизни, но как выяснилось недели не прошло и ожил опять. Все же хочу понять: это вирус такой неизлечимый или я такой чайник?

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. Это понравилось:


  14. #12
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Я запустила, как закончится проверка - вышлю. Пока я удалила файл: C:\Windows\tasks\At1.job Просто у меня там было такое же содержимое - как в этом случае: http://virusinfo.info/showthread.php?t=126853
    Это помогло зайти вконтакте. Но вирус все равно остался и тормозит работу системы, там крах плагина Abode Flesh глюки с бразузерами, с проводником и т.д.
    В общем, я вышлю результат проверки MBAM, как будет готово.

    - - - Добавлено - - -

    Почистила MBAM, перезагрузила - все по прежнему, вирус на месте.

    - - - Добавлено - - -

    Вот еще лог
    Вложения Вложения

  15. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. Это понравилось:


  17. #14
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Все по-прежнему, в контакт не заходит.

    - - - Добавлено - - -

    Вот это вот я вручную вычищаю из hosts.exe после каждой перезагрузки.




    127.0.0.1 razblokirovatdostup.ru antiblock.ru dardan.ru o.vhodilka.ru cameleo.ru spoolls.com
    127.0.0.1 obhodilka.ru raskruty.ru jelya.ru pinun.ru websplatt.ru diazoom.ru anonim.ttu.su
    127.0.0.1 webvpn.org anonimvk.ru nemir.ru vkanonim.ru nezayti.ru unboo.ru anonim.do.am
    127.0.0.1 adminimus.ru netdostupa.com dostyp.ru anonymizer.ru xy4-anonymizer.ru v.vhodilka.ru
    127.0.0.1 nekontakt2.ru hellhead.ru webmurk.ru waitplay.ru dostupest.ru anonimix.ru
    127.0.0.1 timp.ru urlbl.ru workandtalk.ru vhodilka.ru ok-anonimaizer.ru neklassniki.ru
    46.251.249.137 www.odnoklassniki.ru vk.com m.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru
    46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru counter.spylog.com www.google-analytics.com

  18. #15
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Все по прежнему вконтакт не заходит. Я процитировала содержимое Hosts, то что я чищу. После каждой перезагрузки. Какая-то программа мне это все прописывает туда, можно ли понять какая и удалить ее?

  19. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. Это понравилось:


  21. #17
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Сделала.
    Вложения Вложения

  22. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  23. Это понравилось:


  24. #19
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    42
    Вылечили! Благодарю вас!
    В hosts теперь одна строка как и положено:
    127.0.0.1 localhost

    Помех в работе больше нет.

  25. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 20.08.2012, 02:55
  2. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  3. Ответов: 5
    Последнее сообщение: 10.01.2012, 18:59
  4. Ответов: 3
    Последнее сообщение: 23.10.2010, 20:40
  5. Украинские жулики "ломают" "ВКонтакте" за 1500 рублей
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 4
    Последнее сообщение: 23.09.2009, 14:25

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01056 seconds with 17 queries