-
Junior Member
- Вес репутации
- 50
Win32.HLLW.Autohit.7864
Добрый день.
Проблема такая. Со вчерашнего вечера при вводе логина и пароля на сайте vkontakte.ru вне зависимости от браузера (Opera, IE, Mozilla Firefox) открывается страница "Добро пожаловать". На личную страницу не переходит, ошибок, сообщений о неверном пароле и прочего нет. С другими сайтами ничего подобного не заметил.
Kaspersky Internet Security 2009 со свежими базами в безопасном режиме ничего не обнаружил.
Последний Dr.Web CureIt! благополучно нашел и удалил:
yagpag.exe - заражен Win32.HLLW.Autohit.7864
FieryAdsUninstall.exe - заражен Adware.FieryAds.29
Первый, по всей видимости, и напакостил. Описанные последствия работы вируса остались. Есть огромное желание сменить все пароли, но не уверен, что система чиста.
Логи прилагаются.
Заранее спасибо за помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
TDSSKiller при сканировании выдал 2 угрозы (см. скрин). При попытке удалить и перезагрузке выпадает синий экран. После этого возможна только загрузка последней удачной конфигурации с работоспособными параметрами.
Логи полного сканирования МВАМ выложу по готовности.
Последний раз редактировалось Bocsman; 18.08.2010 в 17:38.
-
Выберите Пропустить и ничего не удаляйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
В таком случае говорит, что проверка системы завершена и заражений не найдено. При повторном сканировании снова указывает 2 угрозы.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Лог полного сканирования МВАМ
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Зараженные папки:
C:\Documents and Settings\Serg\Application Data\FieryAds (Adware.FieryAds) -> No action taken.
C:\Program Files\Microsoft Common (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Serg\Application Data\fieryads.dat (Adware.FieryAds) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
Сделал. Проблема осталась.
-
Junior Member
- Вес репутации
- 50
Штука в общем довольно странная.
На данном компе проблема замечена только с vkontakte.ru, на другие сайты, которыми обычно пользуюсь (почтовые сервисы, форумы и т.д.) заходит прекрасно. На соседнем компе - всё прекрасно и с vkontakte (страница открывается, сообщения отправляются и пр.).
Попробовал зайти через прокси - результат тот же.
Дело не в браузере, так как во всех трех используемых - картина не меняется.
В C:\WINDOWS\system32\drivers\etc\ никаких изменений нет (эксперименту ради её полностью заменил на аналогичную с чистой системы), в ветке \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\Tcpip\Parameters\DataBasePath прописана эта же папка.
Может быть будут какие-то предположения: где и что ещё могло произойти? Каким образом можно ещё блокировать сайт? Может быть какие-то скрипты при входе не выполняются? Приходилось видеть всплывающие окна с ошибкой о работе каких-то скриптов при попытке написать первое сообщение или кого-то добавить в друзья.
Без одного сайта на этом компе проживу спокойно, не в нем дело, просто хочется решить головоломку.
Обновление Java до версии 6.0.210.73 также результатов не принесло.
Последний раз редактировалось Bocsman; 20.08.2010 в 00:14.
-
- В командной строке наберите: route -f
- перезагрузитесь.
доступ появился?
-
-
Junior Member
- Вес репутации
- 50
-
Junior Member
- Вес репутации
- 50
Сегодня вечером вдруг стало заходить через vk.com (сначала в Mozilla Firefox, потом и в двух других браузерах). Раньше при попытке провернуть такое сразу выкидывало на страницу vkontakte.ru. Видимо "route -f" всё же помогло, хотя по основному адресу сайт так толком и не хочет работать.
При смене пароля на vk.com стал заходить и через vkontakte.ru.
Если у логах больше ничего подозрительного нет, проблема, по всей видимости, решена.
Ещё раз спасибо за помощь.
Последний раз редактировалось Bocsman; 20.08.2010 в 23:55.
-
Junior Member
- Вес репутации
- 50
Может быть кому-то пригодится. Сегодня видел подобную проблему на одном из форумов, решение оказалось довольно интересным: сайт блокировал Ad Muncher (программа, которая удаляет всплывающие окна, баннеры и другую рекламу на web-страницах). При его отключении проблем уже не возникало.