переходя на страничку Vkontakte.ru попадаю на якобы "блокирование аккаунта и восстановление пароля". с остальным, вроде все нормально. файл hosts пуст.
переходя на страничку Vkontakte.ru попадаю на якобы "блокирование аккаунта и восстановление пароля". с остальным, вроде все нормально. файл hosts пуст.
Пофиксите в hijackthis:Выполните скрипт в AVZ:Код:R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file) R3 - URLSearchHook: (no name) - - (no file) O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\w849ec.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\53g66XP.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll',''); DeleteFile('C:\Documents and Settings\Admin\Application Data\CMedia\CMedia.dll'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\53g66XP.exe'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\dc31534842\w849ec.exe'); DeleteFileMask('C:\DOCUME~1\Admin\LOCALS~1\Temp','*.*',true); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\CMedia','*.*',true); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\CMedia'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{6B830884-20E3-4AB6-B672-2629F0F72071}'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(16); BC_Activate; RebootWindows(true); end.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Сделайте новые логи
все выполнил. папка карантин в AVZ4 была пуста. а строчку "O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Unknown owner - C:\PROGRA~1\DrWeb\spidernt.exe (file missing)" В HijackThis почему-то не нашел.
П.С. вспомнил 2 момента. при первой и второй проверке (до вашего ответа и после) забыл выключать пунто свитчер. еще обнаружил, что при загрузке в безопасном режиме светится синий экран. и написано там что-то про "проверьтесь на вирусы", может это уже давно, не знаю, но можно ли это решить без переустановки ОС?
П.П.С. сайт контакта так и не открывается. но теперь несколько секунд держится стартовая страница настоящего сайта. потом все равно меняется на подделку
Последний раз редактировалось MiG; 27.07.2010 в 09:00. Причина: уточнение про открытие сайта
Сделайте такой лог: http://virusinfo.info/showthread.php?t=53070
сделал полную проверку, ничего не удалял.
1. удалите в MBAM
2. Выполните скрипт в AVZКод:Зараженные ключи в реестре: HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetApi000 (Trojan.Downloader) -> No action taken. Зараженные файлы: C:\WINDOWS\innounp.exe (Malware.Packer) -> No action taken.
После перезагрузки:Код:begin DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\drivers\RKHit.sys',''); QuarantineFile('C:\WINDOWS\Debug\UserMode\explorer.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог MBAM
1. файлы и ключи удалял ручным способом через regedit.
2. все выполнил, все проверил.
*3. пароль к архиву не добавлял. как он скриптом создался, так я его вам и отправил.
хм, странно, что нет последнего поста. ну в общем, скрипт выполнил, карантин залил, прогу скачал, логи сделал, обновление выполнил, (даже активация не выскочила), SP3 скачал, хоть он у меня и стоял, обновления были все, но после перезагрузки появились еще 3неустановленных, их скачал и установил.
проблема с выходом сайта появилась около недели-две назад, но все равно просканировал на 3 месяца.
- удалите в MBAM
что с проблемой?Код:Зараженные файлы: C:\WINDOWS\Debug\UserMode\explorer.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
проблема жива по прежнему
- сделайте лог Combofix
сделал. заметил, что заработал диспетчер устройств))) до этого он был заблокирован. лог прикрепил.
может вам поможет то, что после выхода на страницу vkontakte.ru меня перенаправляет на http://vkontakte.ru/login.php?act=ch...521a24756e21ee ?
подскажите, может догадки какие-нибудь хотя бы есть... где копать, у кого спросить... ? хочется решить вопрос.
не знаю что у вас, а у меня вылазит страница смены пароля, причем неизвестно с какого аккаунта. вы хотите сказать, что это официальный сайт вконтакте? я не знаю всех технологий на сайтах, поэтому к таким вещам отношусь с подозрением.
но если у меня с компа выходят в разные аккаунты, то какой по вашему заблокирован? и от какого из них вводить пароли, если "запомнить меня" галочку никто не ставит?
Хм... интересное дело. сначала как обычно, показало страничку смены пароля, потом ввел строку http://vkontakte.ru/login.php?act=ch...521a24756e21ee (сокращенную) и попал на стандартную страницу.
в общем, вошел, вышел, теперь при вводе kontakte.ru не перенаправляет на автоматическую смену пароля. спасибо всем.
Последний раз редактировалось MiG; 29.07.2010 в 00:29. Причина: Заработало! СПАСИБО.
- Удалите ComboFix
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
спасибо, все сделал. )))
мира вам.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) MiG, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.