-
Junior Member
- Вес репутации
- 42
Залезли на "Одноклассники"
Заглянул на свою полумёртвую страничку в Одноклассниках, и получил оповещение, что пару дней назад на неё заходили с иногороднего IP. Похоже я подцепил какую-то заразу, и у меня стащили пароль.
Аваст ничего не видит, Доктор Веб - тоже.
Высылаю файлы согласно инструкции.
С уважением.
Максим.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Maki, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://erterra.com/images/img.ebg
Сделайте логи RSIT.
-
-
Junior Member
- Вес репутации
- 42
Логи сделал.
- - - Добавлено - - -
И лог MB на всякий случай.
-
В MBAM удалите:
Код:
Обнаруженные параметры в реестре: 3
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://erterra.com/images/img.ebg -> Действие не было предпринято.
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://erterra.com/images/img.ebg -> Действие не было предпринято.
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://erterra.com/images/img.ebg -> Действие не было предпринято.
Где логи RSIT?
-
-
Junior Member
- Вес репутации
- 42
Сорри, не то прикрепил.
ВОт логи RTSI
-
Почему логи RSIT сделаны за 1 месяц? Строчки в 3 сообщении фиксили?
-
-
Junior Member
- Вес репутации
- 42
Сообщение от
mike 1
Почему логи RSIT сделаны за 1 месяц? Строчки в 3 сообщении фиксили?
ОК, теперь я сделал за три месяца.
строку erterrа.com я в хиджаке убирал, но она появилась снова, Убрал ещё раз - но в логах RSIT она опять есть.
-
-
-
Junior Member
- Вес репутации
- 42
Сообщение от
mike 1
В MBAM записи удаляли?
Да, разумеется, все три записи удалил.
Может быть мне ещё раз проделать все этапы - AVZ, MBAM, RTSI (hijak) c отключенным интернетом и подчисткой всего по вашим рекомендациям а потом повторно всё прогнать и выложить логи?
-
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member
- Вес репутации
- 42
-
Выполните скрипт в uVS:
Код:
;uVS v3.82 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
breg
delall %SystemDrive%\DOCUME~1\MXXX\LOCALS~1\TEMPOR~1\CONTENT.IE5\186LO040\5_1_~1.EXE
delref HTTPS://ERTERRA.COM/IMAGES/IMG.EBG
zoo %SystemDrive%\PROGRAM FILES\AMIBROKER\BROKER.EXE
zoo %Sys32%\DRIVERS\TCPIP.SYS
deltmp
restart
Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
Сделайте такой лог http://virusinfo.info/showthread.php?t=153701
Сделайте новый лог UVS
-
-
Junior Member
- Вес репутации
- 42
Всё выполнил.
Каспер ничего не нашёл.
Высылаю логи UVS
Я, также, запустил Hijak там опять eterra.com
Снова почистил эту строку. При отключенном инете она не возникает.
Но RTSI после подключения к сети опять её находит.
Высылаю все логи.
-
Скачайте ComboFix здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
-
-
Junior Member
- Вес репутации
- 42
-
Проверьте эти файлы на virustotal
Код:
c:\QuikFinam\WinRos.exe
c:\Transaq\Transaq.exe
c:\Transaq-2\Transaq.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
-
-
Junior Member
- Вес репутации
- 42
-
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
Сделайте новые логи RSIT.
-
-
Junior Member
- Вес репутации
- 42