жертва vkontakte.ru

Printable View

07.07.2010, 12:09
Красавица

жертва vkontakte.ru

Здравствуйте! в контакте хотела сменить тему и скачала файл,после чего браузер перезагрузился и выдал такое сообщение:[SIZE=3]
Ваш компьютер заблокирован за рассылку спама.Вы можете разблокировать свой компьютер, для этого перейдите на сайт ВКонтакте ([url]http://vkontakte.ru/[/url]) и активируйте свою анкету.После чего Вы сможете пользоватся всей сетью.[SIZE=2]перейдя на сайт просят отправить смс с текстом 162860 на номер 8353.самое интересное что интернет работает( могу зайти в аську и качаются файлы с торента,не дают только по сайтам лазить). с помощью программы HOSTSXpert почистила HOSTS,но на сайты так и не заходит. с помощью
Dr. Web CureIt! проверила компьютер,он нашол Trojan.AuxSpy.187 и обезвредил его.после диагности компа по правилам у меня получилось тока 2 лога.
[/SIZE][/SIZE]
07.07.2010, 12:22
olejah

Пока давайте так -

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\chgservice.exe');
StopService('Change Modem Device Service');
QuarantineFile('C:\Windows\system32\ChgService.exe','');
QuarantineFile('c:\windows\system32\chgservice.exe','');
QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');
DeleteFile('c:\windows\system32\chgservice.exe');
DeleteFile('C:\Windows\system32\ChgService.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

Логи повторите, отпишитесь что с проблемой.
07.07.2010, 12:28
PavelA

C:\Users\Вера\AppData\Local\Temp\_uninst_.bat - пришлите вот этот файлик.
07.07.2010, 14:11
Красавица

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\chgservice.exe');
StopService('Change Modem Device Service');
QuarantineFile('C:\Windows\system32\ChgService.exe','');
QuarantineFile('c:\windows\system32\chgservice.exe','');
QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');
DeleteFile('c:\windows\system32\chgservice.exe');
DeleteFile('C:\Windows\system32\ChgService.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
07.07.2010, 14:18
olejah

Скриншот таблички можно? Либо что там написано, желательно слово в слово. У Вас 7-ка Windows?

А если так -

[CODE]begin
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\chgservice.exe');
StopService('Change Modem Device Service');
QuarantineFile('C:\Windows\system32\ChgService.exe','');
QuarantineFile('c:\windows\system32\chgservice.exe','');
QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');
DeleteFile('c:\windows\system32\chgservice.exe');
DeleteFile('C:\Windows\system32\ChgService.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]
07.07.2010, 14:26
Красавица

[QUOTE=PavelA;666412]C:\Users\Вера\AppData\Local\Temp\_uninst_.bat - пришлите вот этот файлик.[/QUOTE]

и файлик найти не могу,даж в скрытых нет
07.07.2010, 14:38
Красавица

да 7!
07.07.2010, 14:52
olejah

Пробуем так -

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
TerminateProcessByName('c:\windows\system32\chgservice.exe');
QuarantineFile('C:\Windows\system32\ChgService.exe','');
QuarantineFile('c:\windows\system32\chgservice.exe','');
QuarantineFile('C:\Windows\system32\Wat\WatUX.exe','');
QuarantineFile('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat','');
BC_ImportAll;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
07.07.2010, 18:32
Красавица

скрипт прошол без ошибок,вот файл
07.07.2010, 18:41
olejah

Ай-яй-яй, не сюда, загружать по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] над первым сообщением этой темы, отсюда уберите.
07.07.2010, 18:49
Красавица

извини!теперь прислала куда надо!
08.07.2010, 07:07
olejah

Повторите пожалуйста ещё логи, по возможности 3 - virusinfo_syscure.zip, virusinfo_syscheck.zip, hijackthis.log, в старых логах не могу ни к чему придраться.
08.07.2010, 12:40
Красавица

я сделала логи!:(но у меня опять получилось 2!
08.07.2010, 12:50
Красавица

попробуй ещё вот этот посмотреть. он сделан при включёном инете и открытом браузере. как раз в этот момент веб нашол и обезвредил трояна,который находился в процессе памяти windows. вот по этому адресу-C/windows/system32_svchost.exe
08.07.2010, 12:52
Красавица

я не понимаю почему у меня третий лог не получается!!!!!!!!
08.07.2010, 12:53
olejah

А что мешает? Запускаете, а дальше что?
08.07.2010, 13:08
Красавица

да ни чё не мешает. запускаю всё проходит,а лога нет
08.07.2010, 13:09
Красавица

смотри прикол! сделала тока что при выключенном инете! просто щелкнула на браузер.
08.07.2010, 13:13
olejah

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat','');
DeleteFile('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat');
DelAutorunByFileName('C:\Users\Вера\AppData\Local\Temp\_uninst_.bat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine2.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
08.07.2010, 13:52
Красавица

расскажи как должен вот этот лог получится(virusinfo_syscheck.zip), может я просто чёто не так делаю
08.07.2010, 13:54
olejah

[QUOTE]2. Подключитесь к сети Интернет, запустите AVZ*. Вновь откройте меню "Файл"=>"Стандартные скрипты" и отметьте теперь пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.[/QUOTE]

Из поста №19 будем выполнять скрипт и фиксы или уже?
08.07.2010, 14:25
Красавица

ну да ,я точно так же и выполнила,а лога нет!!!!!!!!!

[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]

в карантин я тебе всё отправила

[size="1"][color="#666686"][B][I]Добавлено через 50 секунд[/I][/B][/color][/size]

хотя погодии!
08.07.2010, 14:32
Красавица

я ступила,не то нажала.вот он
09.07.2010, 17:57
AndreyKa

В AVZ меню Файл - Восстановление системы - отметьте строку:
20. Настройки TCP/IP: Удалить статические маршруты
и нажмите кнопку "Выполнить операции"

[url=http://support.mozilla.com/ru/kb/%D0%9E%D0%BA%D0%BD%D0%BE+%C2%AB%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B8%C2%BB+-+%D0%9F%D0%B0%D0%BD%D0%B5%D0%BB%D1%8C+%C2%AB%D0%94%D0%BE%D0%BF%D0%BE%D0%BB%D0%BD%D0%B8%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%BE%C2%BB?s=%5Cu043f%5Cu0440%5Cu043e%5Cu043a%5Cu0441%5Cu0438&as=s#__5]Отключите прокси[/url] если включен.
Очистите кэш браузера.
Проблема решена?
09.07.2010, 18:56
Красавица

:give_rose:спасибо тебе большущее!:yes3:всё работает!:yahoo:теперь фиг я чё с этого контакта качать буду!уроком будет,как лазить где не надо!
10.07.2010, 18:56
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]