-
Junior Member
- Вес репутации
- 54
Вирус лезет в hosts и подменяет страницу vkontakte
Зашел в контакт, набрал логин с паролем, а эта зараза попросила номер телефона...мол, для валидации аккаунта. На него вроде как должна прийти смс и надо будет в ответ что-то отправить.
Ну я полез сразу в процессы. Сразу в галаза бросился fixhosts.exe, который почти всю память сжирал. Нашле его на компе, удалил. Файл hosts поправил.
Теперь на контакт захожу нормально, но есть подозрение, что не до конца заразу добил, ибо не могу запустить командную строку (Win+R) - она появляется на полсекунды и закрывается. Да и в процессах какие-то незнакомые имена, а ля Ticno Tabs.exe, tiny.exe. Иногда в процессах появляется сразу несколько cmd.exe и сразу исчезают.
Логи прикрепил.
Последний раз редактировалось Baz1k; 16.05.2011 в 19:57.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Отключите:
-Все защитные приложения
-ПК от интернета
Подключите:
-Диск D:\
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\program files\common files\program shared\isass.exe');
QuarantineFile('C:\WINDOWS\apppatch\hhitezq.dat','');
QuarantineFile('c:\program files\common files\program shared\isass.exe','');
QuarantineFile('D:\Ролики RuTube.ru\goldteam\MuGuard\llck.sys','');
DeleteFile('c:\program files\common files\program shared\isass.exe');
DeleteFile('C:\WINDOWS\apppatch\hhitezq.dat');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(20);
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
Обновите базы AVZ (Файл->Обновление баз).
Сделайте повторные логи.
Сообщение от
Baz1k
Да и в процессах какие-то незнакомые имена, а ля Ticno Tabs.exe, tiny.exe
Какое-либо программное обеспечение с сайта http://ticno.com/ скачивали? Если нет, деинсталлируйте Ticno Multibar.
-
-
Junior Member
- Вес репутации
- 54
Сделал. Вроде всё спокойно стало.
Последний раз редактировалось Baz1k; 16.05.2011 в 19:57.
-
Пофиксите в HiJack
Код:
O1 - Hosts: 109.94.220.65 www.vkontakte.ru
O1 - Hosts: 109.94.220.65 www.vk.com
O1 - Hosts: 109.94.220.65 vkontakte.ru
O1 - Hosts: 109.94.220.65 vk.com
O1 - Hosts: 109.94.220.65 www.odnoklassniki.ru
O1 - Hosts: 109.94.220.65 odnoklassniki.ru
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\common files\\program shared\\isass.exe - Trojan.Win32.VkHost.dox ( BitDefender: Trojan.Generic.KD.198273, NOD32: Win32/Delf.QCC trojan, AVAST4: Win32:Rootkit-gen [Rtk] )
-