Автоматический переход на clubrelaxxxx.com и неработающий запрос номера телефона при авторизации в Vk и Facebook
Доброго времени суток.*
Возникло несколько проблем. Описываю более-менее подробно, вдруг чего важного...
06.11.2012 словил рекламный баннер, блокирующий окна и требующий деньги для снятия блокировки. Немедленно перезагрузился, вошёл в безопасном режиме как администратор, нашёл баннер и удал. Затем запустил свежий CureIt, просканировал наиболее опасные участки. Ничего. Зашёл в нормальном режиме - баннер, естественно, не появился.
А на следующий день (07.11.2012) начала автоматически при прохождении по любой ссылке открываться вкладка с Автоштрафом ГИБДД и уже не смог войти в Vk и Facebook: вводишь пароль, логин, он просит номер ввести. Вводишь номер - пишет "ваш оператор не поддерживается". Я с таким уже сталкивался не раз. Тогда помогла CureIt. Просканировал весь диск C. CureIt нашёл 7 инфицированных файлов, среди которых была парочка Carbert (удалены), восстановил Hostы. Однако на этот раз не помогло. Hostы по-прежнему модифицируются.*
Проблему с Автоштрафом пытался решить путём очисти кэша и cookies браузера. Не помогло. В результате включил блокирование всех всплывающих окон. Так и работаю.*
Кроме того была проблемка вообще с авторизацией на всех сайтах (использую Opera). Видимо из-за того, что, по глупости, удалил подозрительный (в его имени был просто набор букв, и содержал он пустую папку с именем, состоящем также из цифр и букв) каталог в All Users. Однако, поставив другой браузер, был удивлён, что все пароли (кроме vk и fb) заработали. Тогда очистил все профили от старых папок Opera и установил её заново. Авторизация работает. Автроштраф открывается...
Последующие проверки (сегодня, 08.11.2012) при помощи CureIt и AVZ ничего не дали.*
Помогите, пожалуйста, разобраться.
Последний раз редактировалось Sullengrin; 08.11.2012 в 20:51.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sullengrin, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\WINDOWS\Temp\27434265FdOh');
QuarantineFile('C:\Program Files\Common Files\microsoft shared\XAPc16gt.rov','');
QuarantineFile('C:\Documents and Settings\User\0.8852332957329254.exe','');
DeleteFile('C:\Documents and Settings\User\0.8852332957329254.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','S18010343');
DeleteFile('C:\Program Files\Common Files\microsoft shared\XAPc16gt.rov');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','27434312');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Ясно. Сделаю. Вот только появилась пара вопросов:
1. 'Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.
Это просто предупреждение, или скрипт выполнять с этой фразой?
2. Что именно нужно прислать по красной ссылке? Точнее, какие файлы добавлять в карантин по приложению 1?
P.S.: пардон за некоторую неясность с моей стороны.
- - - Добавлено - - -
Разобрался во всём.
Скрипт выполнил. Карантин загрузил по красной ссылке. Сделал новые логи.
В Vk и fb заходит.
Спасибо!
Однако clubrelaxxxx.com вновь открывается...
Последний раз редактировалось Sullengrin; 08.11.2012 в 21:13.
Очистил. Интернет работает. Реклама пока не появляется.
После очистки в кэше Оперы остаются адреса, в том числе и clubrelaxxxx...
Табличные записи такого толка: например, Имя файла: opr005JS, Размер: 400, Адрес: [удалено]...........
На clubrelaxxxx: Имя файла: opr005LV, Размер: 403, Адрес не привожу. Быть может стоит вручную удалить этот файл?
Последний раз редактировалось thyrex; 10.11.2012 в 21:11.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: