жертва vkontakte.ru

**Красавица** · 07.07.2010, 12:09

Здравствуйте! в контакте хотела сменить тему и скачала файл,после чего браузер перезагрузился и выдал такое сообщение:
Ваш компьютер заблокирован за рассылку спама.Вы можете разблокировать свой компьютер, для этого перейдите на сайт ВКонтакте (http://vkontakte.ru/) и активируйте свою анкету.После чего Вы сможете пользоватся всей сетью.перейдя на сайт просят отправить смс с текстом 162860 на номер 8353.самое интересное что интернет работает( могу зайти в аську и качаются файлы с торента,не дают только по сайтам лазить). с помощью программы HOSTSXpert почистила HOSTS,но на сайты так и не заходит. с помощью
Dr. Web CureIt! проверила компьютер,он нашол Trojan.AuxSpy.187 и обезвредил его.после диагности компа по правилам у меня получилось тока 2 лога.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**olejah** · 07.07.2010, 12:22

Пока давайте так -

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\chgservice.exe');     
 StopService('Change Modem Device Service');  
 QuarantineFile('C:\Windows\system32\ChgService.exe','');
 QuarantineFile('c:\windows\system32\chgservice.exe','');  
 QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');  
 DeleteFile('c:\windows\system32\chgservice.exe');  
 DeleteFile('C:\Windows\system32\ChgService.exe'); 
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

Логи повторите, отпишитесь что с проблемой.

**PavelA** · 07.07.2010, 12:28

C:\Users\Вера\AppData\Local\Temp\_uninst_.bat - пришлите вот этот файлик.

**Красавица** · 07.07.2010, 14:11

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\chgservice.exe');     
 StopService('Change Modem Device Service');  
 QuarantineFile('C:\Windows\system32\ChgService.exe','');
 QuarantineFile('c:\windows\system32\chgservice.exe','');  
 QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');  
 DeleteFile('c:\windows\system32\chgservice.exe');  
 DeleteFile('C:\Windows\system32\ChgService.exe'); 
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

**olejah** · 07.07.2010, 14:18

Скриншот таблички можно? Либо что там написано, желательно слово в слово. У Вас 7-ка Windows?

А если так -

Код:

begin
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\chgservice.exe');     
 StopService('Change Modem Device Service');  
 QuarantineFile('C:\Windows\system32\ChgService.exe','');
 QuarantineFile('c:\windows\system32\chgservice.exe','');  
 QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');  
 DeleteFile('c:\windows\system32\chgservice.exe');  
 DeleteFile('C:\Windows\system32\ChgService.exe'); 
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

**Красавица** · 07.07.2010, 14:26

Сообщение от PavelA

C:\Users\Вера\AppData\Local\Temp\_uninst_.bat - пришлите вот этот файлик.

и файлик найти не могу,даж в скрытых нет

**Красавица** · 07.07.2010, 14:38

да 7!

**olejah** · 07.07.2010, 14:52

Пробуем так -

Выполните скрипт в АВЗ -

Код:

begin
 TerminateProcessByName('c:\windows\system32\chgservice.exe');      
 QuarantineFile('C:\Windows\system32\ChgService.exe','');
 QuarantineFile('c:\windows\system32\chgservice.exe','');  
 QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');  
 QuarantineFile('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat','');
 BC_ImportAll;
 ExecuteWizard('TSW',2,2,true);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

**Красавица** · 07.07.2010, 18:32

скрипт прошол без ошибок,вот файл

**olejah** · 07.07.2010, 18:41

Ай-яй-яй, не сюда, загружать по ссылке Прислать запрошенный карантин над первым сообщением этой темы, отсюда уберите.

**Красавица** · 07.07.2010, 18:49

извини!теперь прислала куда надо!

**olejah** · 08.07.2010, 07:07

Повторите пожалуйста ещё логи, по возможности 3 - virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log, в старых логах не могу ни к чему придраться.

**Красавица** · 08.07.2010, 12:40

я сделала логи!

но у меня опять получилось 2!

**Красавица** · 08.07.2010, 12:50

попробуй ещё вот этот посмотреть. он сделан при включёном инете и открытом браузере. как раз в этот момент веб нашол и обезвредил трояна,который находился в процессе памяти windows. вот по этому адресу-C/windows/system32_svchost.exe

**Красавица** · 08.07.2010, 12:52

я не понимаю почему у меня третий лог не получается!!!!!!!!

**olejah** · 08.07.2010, 12:53

А что мешает? Запускаете, а дальше что?

**Красавица** · 08.07.2010, 13:08

да ни чё не мешает. запускаю всё проходит,а лога нет

**Красавица** · 08.07.2010, 13:09

смотри прикол! сделала тока что при выключенном инете! просто щелкнула на браузер.

**olejah** · 08.07.2010, 13:13

Пофиксите в hijackthis -

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Добавлено через 3 минуты

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat','');
 DeleteFile('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat');  
 DelAutorunByFileName('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat');       
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
 end.

Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

**Красавица** · 08.07.2010, 13:52

расскажи как должен вот этот лог получится(virusinfo_syscheck.zip), может я просто чёто не так делаю

жертва vkontakte.ru (заявка № 82630)

Опции темы

жертва vkontakte.ru

Похожие темы

Get Accelertor (вторая жертва)

Еще одна жертва, зараженной флешки

Подмена сайта vkontakte сайтом x-rate.vkontakte

Еще одна жертва. Нужна помощь.

Еще одна жертва Bagle

Метки для этой темы

Ваши права в разделе