Решена Открывает сайт clubrelaxxxx / gibdd и требует денег Вконтакте

Статус
В этой теме нельзя размещать новые ответы.

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте, где-то неделю назад Яндекс.Защитник стал выводить информацию, что файл hosts пытаются изменить. Я запрещала изменения и все было нормально. День назад мне надоело это сообщение и я запретила выводить сообщения об этом файле. После перезапуска компьютера, при открытии страници или просто со временем стал вылазить сайт из заголовка, при запуске, еще до того как можно двигать курсор, вылезает Командная строка (пустая, в заголовке написано только C:/Windows/System32/cmd.exe) и нельзя зайти Вконтакте даже с правильным паролем.
Скорее всего это был зараженный трояном crack, его я уже удалила.

Логи прилагаю.
 

Вложения

  • log.txt
    41.7 KB · Просмотры: 1
  • info.txt
    35.7 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    35.7 KB · Просмотры: 0
  • virusinfo_syscure.zip
    39.7 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,086
Реакции
153
Приветствую Lucy_Acid, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,374
Реакции
2,692
Выполните скрипт в AVZ (утилиту запускать от имени Администратора по правой кнопке мыши)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Users\LUCY_A~1\AppData\Local\Temp\1820781FdOh');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1820859');
DeleteFileMask('C:\ProgramData\6iNtjwSz1R0', '*', true);
DeleteDirectory('C:\ProgramData\6iNtjwSz1R0');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RebootWindows(true);
end.
Компьютер перезагрузится.

Очистите куки и кэш браузеров

Обновите базы AVZ

Сделайте новые логи
 

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Вот.
 

Вложения

  • virusinfo_syscure.zip
    25.4 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    25.4 KB · Просмотры: 0
  • log.txt
    41.1 KB · Просмотры: 1
  • info.txt
    35.7 KB · Просмотры: 0

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.

Как самочувствие системы?
 

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Да вроде реже стал сайт выскакивать, командной строки не вижу.

Вот лог от Security
 

Вложения

  • SecurityCheck.txt
    2.7 KB · Просмотры: 1

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711
Да вроде реже стал сайт выскакивать
Но полностью еще не решена проблема?

Закрывайте уязвимости:

Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Java(TM) 7 Update 5 (64-bit) v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Java(TM) 7 Update 5 v.7.0.50 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Shockwave Player 11.6 v.11.6.6.636 Внимание! Скачать обновления
Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления
Opera 12.01 v.12.01.1532 Внимание! Скачать обновления
 

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Нет, не решена. Обновления качаю, кэш уже три раза чистила, при каждой перезагрузке.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711
  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.
 

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Логи OTL
Это от него выскочила Командная строка со словами DISKREPORT% ?
 

Вложения

  • Extras.Txt
    61.5 KB · Просмотры: 2
  • OTL.Txt
    378.5 KB · Просмотры: 4

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711
Это от него выскочила Командная строка со словами DISKREPORT% ?
Да

Добавлено через 9 минут 51 секунду
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    :OTL
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_110.dll File not found
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    O20:[b]64bit:[/b] - HKLM Winlogon: System - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
    O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
    O20:[b]64bit:[/b] - HKLM Winlogon: UserInit - (C:\Users\LUCY_A~1\AppData\Local\Temp\053322~1.EXE) -  File not found
    MsConfig:64bit - StartUpReg: [b]uTorrent[/b] - hkey= - key= -  File not found
    MsConfig:64bit - State: "startup" - Reg Error: Key error.
    MsConfig:64bit - State: "services" - Reg Error: Key error.
    [2012.08.25 09:46:00 | 000,000,138 | ---- | C] () -- C:\windows\SysWow64\operaprefs_fixed.ini
    [2009.07.14 07:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini
    
    :Services
    
    :Files
    ipconfig /flushdns /c
    
    :Reg
    
    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.
 

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Лог
 

Вложения

  • 12092012_143613.log
    5.9 KB · Просмотры: 5

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711
Что с проблемой?
 

Lucy_Acid

Новый пользователь
Сообщения
8
Реакции
0
Вроде перестало появляться. Спасибо за помощь. Можно ли как-то проверить на вирус? Надо ли ставить какой-то антивирус после всего этого?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,529
Реакции
5,711
И вам не болеть))
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу