Блокирует мой мир и переадресует на my-eromir.net - предлагает указать номер телефона

**Shadow_Hawk** · 27.12.2012, 16:23

Доброй охоты на вирусы!

Откуда пришла беда точно не знаю (компьютер жены, но видимо эта зараза уже и на учебных сайтах

), но факты таковы:
мой мир (с ее машины) не открывался - было предложено указать телефон - типо прикрепить к учетке моймировской телефон. Там такая фишка есть - проделал сие (на моей машине добавили к учетке телефон). Указал телефон - лучше не стало - все равно пишет - укажите телефон. Видимо все-таки вирус, а потом появился сайт my-eromir.net, дрвеб молчит

... и ... пришел к вам.

По существу:
Просканировал дрвебом - у меня лицензия - чисто.
Проделал все предложенное с avz4 и HijackThis
Файлы высылаю.

Заранее спасибо за вашу помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.12.2012, 16:24

Уважаемый(ая) Shadow_Hawk, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 27.12.2012, 17:03

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

O1 - Hosts: 37.10.117.71 wap.odnoklassniki.ru vk.com www.odnoklassniki.ru m.vk.com odnoklassniki.ru m.odnoklassniki.ru my.mail.ru
O1 - Hosts: 37.10.117.68 counter.rambler.ru mc.yandex.ru admulti.com www.google-analytics.com counter.spylog.com
O4 - HKCU\..\Run: [S831835] C:\Documents and Settings\Admin\Application Data\36.exe
O4 - HKCU\..\Run: [Netprotocol] C:\Documents and Settings\Admin\Application Data\netprotocol.exe
O4 - HKCU\..\Run: [Module] %ALLUSERSPROFILE%\Media\plugin.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Documents and Settings\All Users.WINDOWS.0\Media\plugin.exe','');
  QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\VirtuZoo\VirtuZoo.appref-ms','');
  QuarantineFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe','');
  QuarantineFile('C:\Documents and Settings\Admin\Application Data\36.exe','');
  DeleteFile('C:\Documents and Settings\Admin\Application Data\36.exe');
  DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
  DeleteFile('C:\Documents and Settings\All Users.WINDOWS.0\Media\plugin.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S831835');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Module');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

**Shadow_Hawk** · 30.12.2012, 13:53

Очень неудобно

, но ...
Случилось так, что компьтер без моего ведома несколько раз запускали, видимо что то "там" еще произошло.
Пофиксить в HijackThis не смог - небыло указанных строк после сканирования

Второй скрипт выполнил, но видимо уже бессмысленно, так что решил проделать все заново.
Высылаю новые логи.

**mrak74** · 30.12.2012, 16:45

Второй скрипт выполнил, но видимо уже бессмысленно

Не бессмысленно. Сделайте логи RSIT + Сделайте лог полного сканирования MBAM

**Shadow_Hawk** · 30.12.2012, 22:01

Сообщение от mrak74

Не бессмысленно. Сделайте логи RSIT + Сделайте лог полного сканирования MBAM

Спасибо большое за ответ!!! Думал что уже праздники

у всех и у вирусов есть время пожить еще немного!
С программой RSIT что то не заладилось - в логе вордовский документ с картинками - сообщение об ошибке, после нажатия на Ок - программа прекращает работу - ошибка выскакивает после запуска программы HijackThis когда она приступает к сканированию реестра.

MBAM - запустил, жду результат сканирования.

- - - Добавлено - - -

...
и результаты MBAM

Еще раз спасибо за вашу помощь!
И с наступающим Новым годом!

**Techno** · 31.12.2012, 12:31

Удалите в MBAM:

Код:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Действие не было предпринято.
HKLM\SOFTWARE\PdmSoftware (Trojan.Ransom) -> Действие не было предпринято.
C:\WINDOWS.0\AppPatch\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

После обновлений:
- Сделайте лог ComboFix.

**Shadow_Hawk** · 31.12.2012, 23:18

Совсем с Новым годом!

Выполнил всё!
Лог:

**thyrex** · 01.01.2013, 11:07

Что с проблемой?

**Shadow_Hawk** · 01.01.2013, 12:21

Сообщение от thyrex

Что с проблемой?

В опере все работает!
А эксплорер не проверял - подумал что нужно одобрение

Я так понимаю надо проверить и его
6 сек!

В IE тоже все ок!

Огромное спасибо!
За мною не заржавеет!

ЗЫ:
пара вопросов:
1. Что делать с MBAM - он ведь в "пробном" режиме? Его удалить или пусть живет отведенное время?
2. Жена ходила и на моем компьютере по тем же сайтам - у меня Win7 max SP1 х32 (и ни каких проблем!), а у нее ХР, на моем надо что то проделать так сказать в привентивных мерах или мой компьютер достаточно защищен и параною долой? На моем компьютере кроме IE других браузеров нет и тот же DrWeb только версия 7.

**Techno** · 01.01.2013, 12:30

Сообщение от Shadow_Hawk

1. Что делать с MBAM

Удалите.

- Удалите ComboFix.

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

**Shadow_Hawk** · 01.01.2013, 15:33

Сообщение от Techno

Удалите.

- Удалите ComboFix.

- Выполните в AVZ скрипт из файла ScanVuln.txt
- Откройте файл avz_log.txt из под-папки LOG.
- Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
- Перезагрузите компьютер.
- Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

ComboFix удалил.
Скрипт выполнил - уезвимостей не обнаружено! Спс!!!

**thyrex** · 01.01.2013, 16:03

МВАМ тоже можно удалить

Блокирует мой мир и переадресует на my-eromir.net - предлагает указать номер телефона (заявка № 129479)

Опции темы

Блокирует мой мир и переадресует на my-eromir.net - предлагает указать номер телефона

Это понравилось:

Антивирусная помощь

Антивирусная помощь

Похожие темы

Постоянно переадресует на http://my-eromir.net

Постоянно переадресует на http://my-eromir.net

Блокирует доступ к интернет сайтам, Вконтакте требует номер телефона [Trojan-Ransom.Win32.PornoAsset.axzl ]

Помогите! Страница авторизации вконтакте и твиттера просит указать номер мобильника

Просят номер телефона и смс

Метки для этой темы

Ваши права в разделе