заблокирован Вконтакте.ру

Printable View

27.07.2010, 00:25
MiG

заблокирован Вконтакте.ру

переходя на страничку Vkontakte.ru попадаю на якобы "блокирование аккаунта и восстановление пароля". с остальным, вроде все нормально. файл hosts пуст.
27.07.2010, 00:54
Никита Соловьев

[B]Пофиксите в hijackthis:[/B][CODE]R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)[/CODE]

[B]Выполните скрипт в AVZ:[/B]

[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\w849ec.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\53g66XP.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\53g66XP.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\w849ec.exe');
DeleteFileMask('C:\DOCUME~1\Admin\LOCALS~1\Temp','*.*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\CMedia','*.*',true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\CMedia');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)

Сделайте новые логи
27.07.2010, 08:48
MiG

все выполнил. папка карантин в AVZ4 была пуста. а строчку "O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)" В HijackThis почему-то не нашел.

П.С. вспомнил 2 момента. при первой и второй проверке (до вашего ответа и после) забыл выключать пунто свитчер. еще обнаружил, что при загрузке в безопасном режиме светится синий экран. и написано там что-то про "проверьтесь на вирусы", может это уже давно, не знаю, но можно ли это решить без переустановки ОС?

П.П.С. сайт контакта так и не открывается. но теперь несколько секунд держится стартовая страница настоящего сайта. потом все равно меняется на подделку
27.07.2010, 10:39
Никита Соловьев

Сделайте такой лог: [url]http://virusinfo.info/showthread.php?t=53070[/url]
27.07.2010, 12:44
MiG

сделал полную проверку, ничего не удалял.
27.07.2010, 14:58
polword

1. удалите в MBAM
[CODE]
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetApi000 (Trojan.Downloader) -> No action taken.

Зараженные файлы:
C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken.
[/CODE]
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\drivers\RKHit.sys','');
QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]MBAM[/URL]
27.07.2010, 22:39
MiG

1. файлы и ключи удалял ручным способом через regedit.
2. все выполнил, все проверил.
*3. пароль к архиву не добавлял. как он скриптом создался, так я его вам и отправил.
28.07.2010, 01:24
MiG

хм, странно, что нет последнего поста. ну в общем, скрипт выполнил, карантин залил, прогу скачал, логи сделал, обновление выполнил, (даже активация не выскочила), SP3 скачал, хоть он у меня и стоял, обновления были все, но после перезагрузки появились еще 3неустановленных, их скачал и установил.
проблема с выходом сайта появилась около недели-две назад, но все равно просканировал на 3 месяца.
28.07.2010, 07:23
polword

- удалите в MBAM
[CODE]
Зараженные файлы:
C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
[/CODE]

что с проблемой?
28.07.2010, 08:16
MiG

проблема жива по прежнему
28.07.2010, 12:03
polword

- сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
28.07.2010, 14:53
MiG

сделал. заметил, что заработал диспетчер устройств))) до этого он был заблокирован. лог прикрепил.
может вам поможет то, что после выхода на страницу vkontakte.ru меня перенаправляет на [I][url]http://vkontakte.ru/login.php?act=change_pass&mid=25725319&hash=6380521a24756e21ee[/url][/I] ?
28.07.2010, 23:24
MiG

подскажите, может догадки какие-нибудь хотя бы есть... где копать, у кого спросить... ? хочется решить вопрос.
28.07.2010, 23:28
Никита Соловьев

[QUOTE='MiG;678065']может вам поможет то, что после выхода на страницу vkontakte.ru меня перенаправляет на [url]http://vkontakte.ru/login.php?act=ch...521a24756e21ee[/url] [/QUOTE]О чем говорит Вам эта страница?
29.07.2010, 00:20
MiG

не знаю что у вас, а у меня вылазит страница смены пароля, причем неизвестно с какого аккаунта. вы хотите сказать, что это официальный сайт вконтакте? я не знаю всех технологий на сайтах, поэтому к таким вещам отношусь с подозрением.

но если у меня с компа выходят в разные аккаунты, то какой по вашему заблокирован? и от какого из них вводить пароли, если "запомнить меня" галочку никто не ставит?

Хм... интересное дело. сначала как обычно, показало страничку смены пароля, потом ввел строку [url]http://vkontakte.ru/login.php?act=ch...521a24756e21ee[/url] (сокращенную) и попал на стандартную страницу.
в общем, вошел, вышел, теперь при вводе kontakte.ru не перенаправляет на автоматическую смену пароля. спасибо всем.
29.07.2010, 07:51
polword

- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]

Обновите систему
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
- Обновите [URL="http://www.java.com/ru/download/manual.jsp"]Java [/URL].
29.07.2010, 10:46
MiG

спасибо, все сделал. )))
мира вам.
30.07.2010, 10:46
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]