Блокирует Vkontakte

[Yakovkavd]

Добрый вечер. Не открывается сайт Вконтакте, пишит, что не правильный пароль и просит прислать СМС на некий номер. Стоит антивирус Касперского, однако он вирус не нашел, Др.Веб так же не находит вирусов.
Вместе с контактом так же блокировалась и почта на мэйле. В поисковиках нашла предложенные варианты решения схожей проблемы (удалила из C: \ WINDOWS \ system32 \ Drivers \ Etc \ hosts строки содержащие слова vkontakte) после чего все заработало, но после перезагрузки компьютера с доступом в контакт опять возникают прежние проблемы, хотя в почту заходит без проблем и не просит никакой отправки СМС.

[Никита Соловьев]

Не вижу у Вас в логах ничего плохого. На данный момент доступа нет? Скриншот сообщения можете привести?

[Yakovkavd]

Так же доступа нет, причем из всех установленных браузеров (Мозилы, Оперы, Эксплоуэра) Так же не открывает vk.com и durov.ru

[Никита Соловьев]

Интересный случай. Таких уже несколько. Вы не припомните, что запускали накануне?

[Yakovkavd]

Я поймала в контакте вирус, в сообщении по ссылке пошла скачала подарок (файл Podarok.exe, предварительно проверила этот файл каспером, но он все пропустил), потом касперский опомнился, только после того как все успешно скачалось и установилось и соответственно все заблокировалось. Файл как установленный, так и скаченный я удалила.

Добавлено через 1 минуту

В диспетчере задач при загрузки начинает работать непонятный процесс RtkBtMnt.exe отключаю процесс, по поиску нахожу все файлы с таким именем, удаляю (при перезагрузке или включении/выключении компьютера все файлы в восстанавливаются) потом автоматом появляется процесс klwtblfs.exe (он не удаляется из папки касперского) не знаю относится это к тому вирусу или нет, но до блокировки страниц таких приложений точно в диспетчере задач не было.

[Никита Соловьев]

klwtblfs.exe

Это компонент Касперского. Не трогайте его.

RtkBtMnt.exe

В какой папке находится?

[Yakovkavd]

В C:\TEMP; C:\WINDOWS\Prefetch
Еще был в моих документах, но там он не восстанавливается.

[Никита Соловьев]

Сделайте лог MBAM

[Yakovkavd]

Не уверена, что это тот лог, т.к. он лежал не в той папке, что описана в помощи

[Никита Соловьев]

Удалите с помощью МВАМ всё, кроме:

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

C:\Program Files\ABBYY FineReader 8.0 Professional Edition\fr8p-djx.exe (Malware.Packer.Gen) -> No action taken.
C:\Program Files\ABBYY FineReader 8.0 Professional Edition\-Crack-Serial-\not\Batch.exe (Malware.Packer.Gen) -> No action taken.

Сделайте новый лог

[Yakovkavd]

так же просит активации через смс

[миднайт]

Напишите с какого момента это началось. Дату скажите.
В AVZ выполните скрипт:

Код:

begin
SetAVZPMStatus(True);
end.

Повторите лог virusinfo_syscheck.zip

[Yakovkavd]

Началось 10.09.2010. когда по ссылке скачала файл с вирусом.
А чтобы повторить лог надо по новой запустить ("Файл"=>"Стандартные скрипты" и отметьте теперь пункт "Скрипт сбора информации для раздела "Помогите!" virusinfo.info".)

[Yakovkavd]

/

[миднайт]

С помощью AVZ поищите файл pjjomu.sys , добавьте его в карантин вручную и пришлите по правилам. Как искать см. приложение 2 и 3 http://virusinfo.info/pravila.html

[Yakovkavd]

Файл добавляется в карантин, однако, когда включаешь просмотр карантина, там папка от сегодняшней даты пустая.
А внизу AVZ, в протоколе пишется следующее:
Ошибка карантина файла, попытка прямого чтения (pjjomu.sys)
Карантин с использованием прямого чтения - ошибка

[миднайт]

Напишите полный путь к файлу плиз.

[Yakovkavd]

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\pjjomu.sys)
Карантин с использованием прямого чтения - ошибка

Добавлено через 6 минут

Если в поиске пробить этот файл, то комп его не находит.

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
ClearQuarantine;
 QuarantineFile('pjjomu.sys','');
 QuarantineFile('C:\WINDOWS\system32\pjjomu.sys','');
 DeleteFile('pjjomu.sys');
 DeleteFile('C:\WINDOWS\system32\pjjomu.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip (если чтото туда попадет) по красной ссылке Прислать запрошенный карантин вверху темы.
Логи повторите.

[Yakovkavd]

Спасибо за помощь, проблема решена. Сегодня днем с помощью Virus Removal Tool от касперского нашелся троян, вылечился, затем просто в окне в контакте где предлагается заменить пароль, заменила, запросил номер мобильного, туда пришел код активации и вроде бы все сейчас работает...