Контакт, Гугл и Яндекс просят ввести номер телефона [Trojan.Win32.ShipUp.ixa, HEUR:Trojan.Win32.Generic ]

**Molibd** · 14.05.2013, 17:12

Добрый день, уважаемые вирусоборцы.

Столкнулся с неприятной ситуацией: при открытии сайтов гугла, контакта и яндекса появляется предупреждение о необходимости ввода номера мобильного телефона.

Проявляется это в Опере, Хроме и Мозиле. Как ни странно, в IE такого нет, и все открывается нормально.

Проверял систему AVG, Dr Web CureIt, AVZ, утилитой Касперского, HiJack. Находили какие-то трояны, но не помогло.

Файл Hosts чистый. Скрытых файлов в папке нет. В реестре ссылка тоже на корректную папку.

Выполнял ipconfig /flushdns с последующей очисткой папки Temp. Также выполнял route -f.

Пробовал переустановить Хром - все так же.

При попытке открыть защищенное соединение к Гуглу, выдается сообщение о том, что не все сертификаты действительны.

Подскажите, пожалуйста, как поступить в данной ситуации?

Заранее спасибо.

P.S.: Не совсем понял, где находится архив virusinfo_syscheck.zip, поэтому не прикладываю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.05.2013, 17:14

Уважаемый(ая) Molibd, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Nikkollo** · 14.05.2013, 18:40

Здравствуйте.

Выполните скрипт в AVZ (как выполнить):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\PROGRA~3\Mozilla\kgokvwh.dll','');
 QuarantineFileF('C:\PROGRA~3\Mozilla','*', true,'',0 ,0);
 QuarantineFile('C:\Users\User\documents\application data\explorer.exe','');
 DeleteFile('C:\Users\User\documents\application data\explorer.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 DeleteFile('C:\PROGRA~3\Mozilla\kgokvwh.dll');
 DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Загрузите quarantine.zip из папки AVZ по красной ссылке в шапке этой темы "Прислать запрошенный карантин".

Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Сделайте лог virusinfo_syscheck.zip полиморфным AVZ (базы обновлять не надо):
http://z-oleg.com/avz.exe
(пункт 2 раздела "Диагностика" правил) и приложите в теме.

Сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" правил) и приложите в теме.

**Molibd** · 14.05.2013, 19:19

Nikkollo, спасибо за оперативный ответ.

Все выполнил согласно Ваших инструкций.

Проблема решена, доступ на сайты восстановился.

Спасибо.

Единственное, о чем хотелось спросить: где именно находился зловред и к какому типу относится?

**Nikkollo** · 14.05.2013, 20:05

Пока еще немного почистим.

Выполните скрипт в AVZ (как выполнить):

Код:

begin
SetupAVZ('X64R=NN');
 DeleteFile('C:\PROGRA~3\Mozilla\iqydari.exe');
 DeleteFileMask('C:\PROGRA~3\Mozilla', '*.tmp', false);
 DeleteFileMask('C:\PROGRA~3\Mozilla', '*.exe', false);
DeleteFile('C:\Windows\Tasks\plrpquk');
DeleteFile('c:\Windows\System32\Tasks\plrpquk');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте заново лог virusinfo_syscheck.zip полиморфным AVZ и приложите в теме.

Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

**Molibd** · 14.05.2013, 23:01

Nikkolo, к сожалению, компьютер сейчас не передо мной, поэтому приведу Ваши инструкции в жизнь завтра и обязательно выложу здесь результаты.

Еще раз благодарю за оказанную помощь.

Доброй Вам ночи.

**CyberHelper** · 14.05.2013, 23:11

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\progra~3\\mozilla\\iqydari.exehqxqsaa.tmp - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Generic.9061455, AVAST4: Win32:Trojan-gen )
2. c:\\progra~3\\mozilla\\iqydari.exehzqmsaa.tmp - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Generic.9061455, AVAST4: Win32:Trojan-gen )
3. c:\\progra~3\\mozilla\\kgokvwh.dll - Trojan.Win32.ShipUp.ixa ( BitDefender: Trojan.GenericKDV.989155 )
4. c:\\users\\user\\documents\\application data\\explorer.exe - Trojan.Win32.Cidox.afgf ( BitDefender: Gen:Variant.Zusy.48275, AVAST4: Win32:Cidox-BK [Trj] )

Контакт, Гугл и Яндекс просят ввести номер телефона [Trojan.Win32.ShipUp.ixa, HEUR:Trojan.Win32.Generic ] (заявка № 138789)

Опции темы