Решена Открывает сайт clubrelaxxxx / gibdd и требует денег Вконтакте

Статус
В этой теме нельзя размещать новые ответы.
L

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, где-то неделю назад Яндекс.Защитник стал выводить информацию, что файл hosts пытаются изменить. Я запрещала изменения и все было нормально. День назад мне надоело это сообщение и я запретила выводить сообщения об этом файле. После перезапуска компьютера, при открытии страници или просто со временем стал вылазить сайт из заголовка, при запуске, еще до того как можно двигать курсор, вылезает Командная строка (пустая, в заголовке написано только C:/Windows/System32/cmd.exe) и нельзя зайти Вконтакте даже с правильным паролем.
Скорее всего это был зараженный трояном crack, его я уже удалила.

Логи прилагаю.
 

Вложения

  • log.txt
    41.7 KB · Просмотры: 1
  • info.txt
    35.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    35.7 KB · Просмотры: 0
  • virusinfo_syscure.zip
    39.7 KB · Просмотры: 1
Приветствую Lucy_Acid, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.


***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Выполните скрипт в AVZ (утилиту запускать от имени Администратора по правой кнопке мыши)
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\LUCY_A~1\AppData\Local\Temp\1820781FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1820859');
DeleteFileMask('C:\ProgramData\6iNtjwSz1R0', '*', true);
DeleteDirectory('C:\ProgramData\6iNtjwSz1R0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RebootWindows(true);
end.
Компьютер перезагрузится.

Очистите куки и кэш браузеров

Обновите базы AVZ

Сделайте новые логи
 
Вот.
 

Вложения

  • virusinfo_syscure.zip
    25.4 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    25.4 KB · Просмотры: 0
  • log.txt
    41.1 KB · Просмотры: 1
  • info.txt
    35.7 KB · Просмотры: 0
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

Как самочувствие системы?
 
Да вроде реже стал сайт выскакивать, командной строки не вижу.

Вот лог от Security
 

Вложения

  • SecurityCheck.txt
    2.7 KB · Просмотры: 1
Lucy_Acid написал(а):
Да вроде реже стал сайт выскакивать
Нажмите для раскрытия...
Но полностью еще не решена проблема?

Закрывайте уязвимости:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Java(TM) 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Shockwave Player 11.6 v.11.6.6.636 Внимание! Скачать обновления
Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления
Нажмите для раскрытия...
 
Нет, не решена. Обновления качаю, кэш уже три раза чистила, при каждой перезагрузке.
 
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 
Логи OTL
Это от него выскочила Командная строка со словами DISKREPORT% ?
 

Вложения

  • Extras.Txt
    61.5 KB · Просмотры: 2
  • OTL.Txt
    378.5 KB · Просмотры: 4
Lucy_Acid написал(а):
Это от него выскочила Командная строка со словами DISKREPORT% ?
Нажмите для раскрытия...
Да

Добавлено через 9 минут 51 секунду
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код: 
    :processes
:OTL
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O20:[b]64bit:[/b] - HKLM Winlogon: System - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
MsConfig:64bit - StartUpReg: [b]uTorrent[/b] - hkey= - key= -  File not found
MsConfig:64bit - State: "startup" - Reg Error: Key error.
MsConfig:64bit - State: "services" - Reg Error: Key error.
[2012.08.25 09:46:00 | 000,000,138 | ---- | C] () -- C:\windows\SysWow64\operaprefs_fixed.ini
[2009.07.14 07:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini

:Services

:Files
ipconfig /flushdns /c

:Reg

:Commands
[EMPTYTEMP]
[purity]
[start explorer]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 
Лог
 

Вложения

  • 12092012_143613.log
    5.9 KB · Просмотры: 5
Что с проблемой?
 
Вроде перестало появляться. Спасибо за помощь. Можно ли как-то проверить на вирус? Надо ли ставить какой-то антивирус после всего этого?
 
И вам не болеть))
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу