заблокирован Вконтакте.ру

[MiG]

переходя на страничку Vkontakte.ru попадаю на якобы "блокирование аккаунта и восстановление пароля". с остальным, вроде все нормально. файл hosts пуст.

[Никита Соловьев]

Пофиксите в hijackthis:

Код:

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) -  - (no file)
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\w849ec.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\53g66XP.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\53g66XP.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\w849ec.exe');
 DeleteFileMask('C:\DOCUME~1\Admin\LOCALS~1\Temp','*.*',true);
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\CMedia','*.*',true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\CMedia');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteRepair(16);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

Сделайте новые логи

[MiG]

все выполнил. папка карантин в AVZ4 была пуста. а строчку "O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)" В HijackThis почему-то не нашел.

П.С. вспомнил 2 момента. при первой и второй проверке (до вашего ответа и после) забыл выключать пунто свитчер. еще обнаружил, что при загрузке в безопасном режиме светится синий экран. и написано там что-то про "проверьтесь на вирусы", может это уже давно, не знаю, но можно ли это решить без переустановки ОС?

П.П.С. сайт контакта так и не открывается. но теперь несколько секунд держится стартовая страница настоящего сайта. потом все равно меняется на подделку

[Никита Соловьев]

Сделайте такой лог: http://virusinfo.info/showthread.php?t=53070

[MiG]

сделал полную проверку, ничего не удалял.

[polword]

1. удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetApi000 (Trojan.Downloader) -> No action taken.

Зараженные файлы:
C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken.

2. Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\drivers\RKHit.sys','');
 QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте лог MBAM

[MiG]

1. файлы и ключи удалял ручным способом через regedit.
2. все выполнил, все проверил.
*3. пароль к архиву не добавлял. как он скриптом создался, так я его вам и отправил.

[MiG]

хм, странно, что нет последнего поста. ну в общем, скрипт выполнил, карантин залил, прогу скачал, логи сделал, обновление выполнил, (даже активация не выскочила), SP3 скачал, хоть он у меня и стоял, обновления были все, но после перезагрузки появились еще 3неустановленных, их скачал и установил.
проблема с выходом сайта появилась около недели-две назад, но все равно просканировал на 3 месяца.

[polword]

- удалите в MBAM

Код:

Зараженные файлы:
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

что с проблемой?

[MiG]

проблема жива по прежнему

[polword]

- сделайте лог Combofix

[MiG]

сделал. заметил, что заработал диспетчер устройств))) до этого он был заблокирован. лог прикрепил.
может вам поможет то, что после выхода на страницу vkontakte.ru меня перенаправляет на http://vkontakte.ru/login.php?act=ch...521a24756e21ee ?

[MiG]

подскажите, может догадки какие-нибудь хотя бы есть... где копать, у кого спросить... ? хочется решить вопрос.

[Никита Соловьев]

может вам поможет то, что после выхода на страницу vkontakte.ru меня перенаправляет на http://vkontakte.ru/login.php?act=ch...521a24756e21ee

О чем говорит Вам эта страница?

[MiG]

не знаю что у вас, а у меня вылазит страница смены пароля, причем неизвестно с какого аккаунта. вы хотите сказать, что это официальный сайт вконтакте? я не знаю всех технологий на сайтах, поэтому к таким вещам отношусь с подозрением.

но если у меня с компа выходят в разные аккаунты, то какой по вашему заблокирован? и от какого из них вводить пароли, если "запомнить меня" галочку никто не ставит?

Хм... интересное дело. сначала как обычно, показало страничку смены пароля, потом ввел строку http://vkontakte.ru/login.php?act=ch...521a24756e21ee (сокращенную) и попал на стандартную страницу.
в общем, вошел, вышел, теперь при вводе kontakte.ru не перенаправляет на автоматическую смену пароля. спасибо всем.

[polword]

- Удалите ComboFix

Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .

[MiG]

спасибо, все сделал. )))
мира вам.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены