Вирус с сайта "одноклассники"

**bera1** · 02.06.2008, 12:17

Здравствуйте, на сайте однклассники было получено сообщение с ссылкой от девушки с просьбой проголосовать за нее, перейдя по этой ссылке компьютер был зарожен, это проявляеться в постоянном появление (когда пользуешься интернетом) всплывающих окон с порно содержанием....Запускал штатный антивирус (NOD32), AVZ, ничего не находят, также пробывал блокировать всплывающие окна но ссылки всеравно вылезают, незнаю что еще делать! Взаранее спасибо за уделенное внимание!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 02.06.2008, 12:41

Выполните очистку ПК (ссылка в моей подписи)
Пофиксите

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E48991C-E998-4EDA-9982-26BA4E6EB16C}: NameServer = 85.255.113.141,85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0624EB7-378C-4D92-8227-ECCCB6E9CC8F}: NameServer = 85.255.113.141,85.255.112.232
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.232
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.232
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.141 85.255.112.232

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\kdaoq.exe','');
 DeleteFile('C:\WINDOWS\system32\kdaoq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки закачайте карантин по красной ссылке вверху темы и повторите логи.

**bera1** · 02.06.2008, 14:01

Спасибо, про очистку ПК еще понятно, а вот что значит Пофиксите и Выполните скрипт-я чайник

! Можно поподробнее пожалуйста.

**Rene-gad** · 02.06.2008, 14:40

Давить для Пофиксите
Давить для Выполните скрипт

Код:

я чайник

Но читать-то Вы умеете

В правилах все написано.

**bera1** · 03.06.2008, 14:31

Следуя вашим инструкциям я выполнил: очистку ПК с помощью Clearprog 1.5.0, пофиксил с помощью HijackThis, а выполнить скрипт не получилось пишет-ошибка скрипта:')' expected, позиция [4:17]

**PavelA** · 03.06.2008, 14:45

Поправил:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\kdaoq.exe','');
 DeleteFile('C:\WINDOWS\system32\kdaoq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**Rene-gad** · 03.06.2008, 14:47

Сообщение от PavelA

Поправил

Спасибо, я тоже

**bera1** · 04.06.2008, 13:33

отослал запрошенный файл, получилось?

**Rene-gad** · 04.06.2008, 13:39

Логи повторите, плиз, и не исчезайте на 24 часа

Файл загрузился - по предварительным данным один из Vundo-группы.

**bera1** · 04.06.2008, 15:34

Вроде все сделал как вы говорили, я очистил ПК,пофиксил, выполнил скрипт (единственное после этого вернул О17 обратно View the list of backups) а потом заного сделал логи.

**Rene-gad** · 04.06.2008, 16:34

Сообщение от bera1

единственное после этого вернул О17 обратно View the list of backups

Супер! Хакеры из Одессы очень этому порадуются. Будете далее сами чистить ПК или как?
Скачайте и запустите: http://download.softpedia.ro/dl/3ab7...S/VundoFix.exe
Повторите этот скрипт: http://virusinfo.info/showpost.php?p=235671&postcount=6
Повторите логи сегодня еще, плиз.

**bera1** · 04.06.2008, 16:49

Блин))) а только что снова пофиксил О17 так их не восстанавливать что ли обратно????

**Rene-gad** · 04.06.2008, 17:18

Сообщение от bera1

а только что снова пофиксил О17 так их не восстанавливать что ли обратно????

Эти записи перенаправляют Ваш ИЕ на сервер в Одессе. Если Вам это нравится - можете эти записи оставить

**Гриша** · 04.06.2008, 17:24

Вас кто-то просит их восстанавливать?Четко было сказано,пофиксить,значит нужно было пофиксить и больше ни какой самодеятельности

Если Вы не понимаете, что Вас просят сделать, то в этом случае, Вам лучше обратиться к специалистам ближайшей компьютерной фирмы. Если Вы отказываетесь выполнять указания хелперов, или делаете всё по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.

**bera1** · 04.06.2008, 18:05

1.

Ребята пожалуйста не надо злиться, я не проффесионал и стараюсь делать как вы говорите. Я так сделал потому что прочитал это в разделе на который вы мне дали ссылку "что значит пофиксить с помощью HijackThis" там написано что надо вернуть обратно вот и вернул тогда их сейчас понял что не надо было! кстати они так и торчат в папке "backups" ее надо удалять?
2. запустил программу которую вы прислали VundoFix она ничего не нашла
3 выполнил снова скрипт и отправил вам его
4 сделал новые логи высылаю

**Rene-gad** · 04.06.2008, 18:16

Сообщение от bera1

Ребята пожалуйста не надо злиться

Мы еще и не начинали злиться

Файл загрузился, но к сожалению не удалился. Загрузитесь в безопасном режиме, запустите АВЗ, найдите файл

Код:

C:\WINDOWS\system32\kdaoq.exe

вручную и попытайтесь его просто удалить.

**bera1** · 04.06.2008, 18:53

пробывал по всякому он его не находит!

Что делать незнаю!

**Rene-gad** · 04.06.2008, 18:55

Сообщение от bera1

пробывал по всякому он его не находит!

Еще вариант: http://virusinfo.info/showthread.php?t=17228
Установите в Проводнике: Сервис->Свойства папки->Вид->Отображать скрытые файлы

**bera1** · 04.06.2008, 19:17

неа всеравно не получается его найти. Эти Одесские редиски конкретно его спрятали

**Rene-gad** · 04.06.2008, 19:37

Запустите еще такой скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);    
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\kdaoq.exe','');
 DeleteFile('C:\WINDOWS\system32\kdaoq.exe');
 BC_DeleteFile('C:\WINDOWS\system32\kdaoq.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки проверьте содержимое карантина, если не пустой - закачайте.
Повторите логи.

Вирус с сайта "одноклассники" (заявка № 23867)

Опции темы