Решена Открывает сайт clubrelaxxxx / gibdd и требует денег Вконтакте

[Lucy_Acid]

Здравствуйте, где-то неделю назад Яндекс.Защитник стал выводить информацию, что файл hosts пытаются изменить. Я запрещала изменения и все было нормально. День назад мне надоело это сообщение и я запретила выводить сообщения об этом файле. После перезапуска компьютера, при открытии страници или просто со временем стал вылазить сайт из заголовка, при запуске, еще до того как можно двигать курсор, вылезает Командная строка (пустая, в заголовке написано только C:/Windows/System32/cmd.exe) и нельзя зайти Вконтакте даже с правильным паролем.
Скорее всего это был зараженный трояном crack, его я уже удалила.

Логи прилагаю.

Click to read more...

 

[Ботан]

Приветствую Lucy_Acid, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[thyrex]

Выполните скрипт в AVZ (утилиту запускать от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\LUCY_A~1\AppData\Local\Temp\1820781FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1820859');
DeleteFileMask('C:\ProgramData\6iNtjwSz1R0', '*', true);
DeleteDirectory('C:\ProgramData\6iNtjwSz1R0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Очистите куки и кэш браузеров

Обновите базы AVZ

Сделайте новые логи

 

[Lucy_Acid]

Вот.

 

[Severnyj]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

Как самочувствие системы?

 

[Lucy_Acid]

Да вроде реже стал сайт выскакивать, командной строки не вижу.

Вот лог от Security

 

[Severnyj]

Да вроде реже стал сайт выскакивать

Но полностью еще не решена проблема?

Закрывайте уязвимости:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Java(TM) 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Shockwave Player 11.6 v.11.6.6.636 Внимание! Скачать обновления
Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления

 

[thyrex]

Да вроде реже стал сайт выскакивать

Но выскакивает? Куки и кэш чистили?

 

[Lucy_Acid]

Нет, не решена. Обновления качаю, кэш уже три раза чистила, при каждой перезагрузке.

 

[Severnyj]

• Подготовьте лог OTL by OldTimer, как описано на этой странице.
• Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
• Если логи не прикрепляются запакуйте их в архив.

 

[Lucy_Acid]

Логи OTL
Это от него выскочила Командная строка со словами DISKREPORT% ?

 

[Severnyj]

Это от него выскочила Командная строка со словами DISKREPORT% ?

Да

Добавлено через 9 минут 51 секунду

• Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.
  
  Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  
• В окно Custom Scans/Fixes скопируйте следующую информацию:
  
  
  :processes
  :OTL
  FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
  FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
  O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
  O20:[b]64bit:[/b] - HKLM Winlogon: System - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
  O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
  O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
  MsConfig:64bit - StartUpReg: [b]uTorrent[/b] - hkey= - key= -  File not found
  MsConfig:64bit - State: "startup" - Reg Error: Key error.
  MsConfig:64bit - State: "services" - Reg Error: Key error.
  [2012.08.25 09:46:00 | 000,000,138 | ---- | C] () -- C:\windows\SysWow64\operaprefs_fixed.ini
  [2009.07.14 07:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
  
  :Services
  
  :Files
  ipconfig /flushdns /c
  
  :Reg
  
  :Commands
  [EMPTYTEMP]
  [purity]
  [start explorer]
  [Reboot]
• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

[Lucy_Acid]

Лог

 

[Severnyj]

Что с проблемой?

 

[Lucy_Acid]

Вроде перестало появляться. Спасибо за помощь. Можно ли как-то проверить на вирус? Надо ли ставить какой-то антивирус после всего этого?

 

[Severnyj]

Надо ли ставить какой-то антивирус после всего этого?

Если не стоит никакого то конечно же надо, можно даже бесплатный

Рекомендации после удаления вредоносного ПО

 

[Lucy_Acid]

Спасибо большое Вам.

 

[Severnyj]

И вам не болеть))