Показано с 1 по 20 из 20.

Вирус "Антиштраф", блокирующий Вконтакте и портящий hosts.exe (заявка № 126865)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15

    Вирус "Антиштраф", блокирующий Вконтакте и портящий hosts.exe

    Столкнулась с той же проблемой, что и в этих темах:

    http://virusinfo.info/showthread.php?t=126848&

    http://virusinfo.info/showthread.php?t=126853

    http://virusinfo.info/showthread.php?t=126801

    Касперский находит вирус Trojan, после перезагрузки вирус снова на месте.
    DR. Web его не видит. Avast не хочет запускаться.

    Я поняла, что вы - единственная надежда. У вас замечательный сайт, все очень понятно и толково написано, очень надеюсь на вас - вы уже стольким реально помогли!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Sveta11, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     QuarantineFile('C:\Windows\AppPatch\twdonsi.exe','');
     SetServiceStart('newdriver', 4);
     DeleteService('newdriver');
     QuarantineFile('C:\Windows\xored.sys','');
     DeleteFile('C:\Windows\xored.sys');
     DeleteFile('C:\Windows\AppPatch\twdonsi.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  5. #4
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Большое спасибо за рекомендации!
    Скрипт выполнила, новые логи сделала. Папка карантин пустая.

    Логи RSIT сейчас вышлю.

    - - - Добавлено - - -

    Скажите пожалуйста, почему после работы AVZ полетел Касперский, несмотря на то, что я перезагружала систему? Я так поняла придется его удалять и заново ставить))
    Вложения Вложения

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    C:\ProgramData\0ulUgdGiYMM удалите вручную

    Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  7. #6
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    В C:\ProgramData нет такого файла (отображение скрытых включено).
    Поиск выдает log.txt сделанный с помощью RSIT
    Там есть строчка:
    2012-11-11 00:57:49 ----SHD---- C:\ProgramData\0ulUgdGiYMM

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Все верно, это папка с атрибутами "скрытая, системная". Показ таких файлов и папок в системе установлен?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Пока искала где галочку поставить, чтобы папку сделать видимой, вирус опять - тут как тут.

    - - - Добавлено - - -

    Скрипт в AVZ выполнила, вирус на месте, vk.com не работает.
    Hosts.exe я каждый раз чищу вручную.

    Новые логи.
    Вложения Вложения

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Выполните скрипт в AVZ
    Код:
     begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    DeleteFile('C:\Users\836D~1\AppData\Local\Temp\109091436FdOh');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','109091904');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(13); 
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Очистите куки и кэш браузеров

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Вы знаете! Я все сделала как вы написали, но вирус снова попал на компьютер в новой модификации.
    Я так понимаю, что удалить его полностью нереально и онсамовосстанавливается и так и будет появляться каждые 3-5 дней до конца жизни моей системы.
    Скажите: неужели ничего нельзя сделать? Я вручную чищу hosts.exe, лечу avast и avz, выполняю скрпит и постоянно чищу куки но после перезагрузки все на месте и вирус и злополучная папка C:\ProgramData\0ulUgdGiYMM и испорченный hosts.exe.

    - - - Добавлено - - -

    Еще следует отметить, что лекарство Dr. Web. я скачать не могу. Вирус блокирует скачивание данной утилиты. А Avast практически не лечит вирус, если и удаляет - то только часть и толку от этого нет.

    - - - Добавлено - - -

    Прошлый раз я лечила утилитой eScan и вирус перестал подавать признаки жизни, но как выяснилось недели не прошло и ожил опять. Все же хочу понять: это вирус такой неизлечимый или я такой чайник?

  12. #11
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  13. thyrex получил(а) благодарность за это сообщение от


  14. #12
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Я запустила, как закончится проверка - вышлю. Пока я удалила файл: C:\Windows\tasks\At1.job Просто у меня там было такое же содержимое - как в этом случае: http://virusinfo.info/showthread.php?t=126853
    Это помогло зайти вконтакте. Но вирус все равно остался и тормозит работу системы, там крах плагина Abode Flesh глюки с бразузерами, с проводником и т.д.
    В общем, я вышлю результат проверки MBAM, как будет готово.

    - - - Добавлено - - -

    Почистила MBAM, перезагрузила - все по прежнему, вирус на месте.

    - - - Добавлено - - -

    Вот еще лог
    Вложения Вложения

  15. #13
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. thyrex получил(а) благодарность за это сообщение от


  17. #14
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Все по-прежнему, в контакт не заходит.

    - - - Добавлено - - -

    Вот это вот я вручную вычищаю из hosts.exe после каждой перезагрузки.




    127.0.0.1 razblokirovatdostup.ru antiblock.ru dardan.ru o.vhodilka.ru cameleo.ru spoolls.com
    127.0.0.1 obhodilka.ru raskruty.ru jelya.ru pinun.ru websplatt.ru diazoom.ru anonim.ttu.su
    127.0.0.1 webvpn.org anonimvk.ru nemir.ru vkanonim.ru nezayti.ru unboo.ru anonim.do.am
    127.0.0.1 adminimus.ru netdostupa.com dostyp.ru anonymizer.ru xy4-anonymizer.ru v.vhodilka.ru
    127.0.0.1 nekontakt2.ru hellhead.ru webmurk.ru waitplay.ru dostupest.ru anonimix.ru
    127.0.0.1 timp.ru urlbl.ru workandtalk.ru vhodilka.ru ok-anonimaizer.ru neklassniki.ru
    46.251.249.137 www.odnoklassniki.ru vk.com m.odnoklassniki.ru my.mail.ru odnoklassniki.ru m.vk.com wap.odnoklassniki.ru
    46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru counter.spylog.com www.google-analytics.com

  18. #15
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Все по прежнему вконтакт не заходит. Я процитировала содержимое Hosts, то что я чищу. После каждой перезагрузки. Какая-то программа мне это все прописывает туда, можно ли понять какая и удалить ее?

  19. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. thyrex получил(а) благодарность за это сообщение от


  21. #17
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Сделала.
    Вложения Вложения

  22. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  23. thyrex получил(а) благодарность за это сообщение от


  24. #19
    Junior Member Репутация
    Регистрация
    11.11.2012
    Сообщений
    15
    Вес репутации
    15
    Вылечили! Благодарю вас!
    В hosts теперь одна строка как и положено:
    127.0.0.1 localhost

    Помех в работе больше нет.

  25. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,439
    Вес репутации
    2913
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Ответов: 7
    Последнее сообщение: 20.08.2012, 02:55
  2. Ответов: 7
    Последнее сообщение: 26.04.2012, 16:16
  3. Ответов: 5
    Последнее сообщение: 10.01.2012, 18:59
  4. Ответов: 3
    Последнее сообщение: 23.10.2010, 20:40
  5. Украинские жулики "ломают" "ВКонтакте" за 1500 рублей
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 4
    Последнее сообщение: 23.09.2009, 14:25

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00635 seconds with 21 queries