Решена Вирус не дает зайти в вконтакте (vk.com)

Статус
В этой теме нельзя размещать новые ответы.

wladm

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте.
У меня тема, похожая на http://safezone.cc/threads/vkontakte-vy-pytaetes-zajti-iz-neobychnogo-mesta.16081/

При вводе логина и пароля на vk.com появляется надпись:

Вы пытаетесь зайти под именем (имя) из необычного места.
Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница. +7 46
Подтвердить
Выйти
В случае, если Вы по какой-либо причине не можете вспомнить номер, к которому привязана Ваша страница, Вы можете ввести номер с которого сможете подтвердить авторизацию.



Помогите пожалуйста удалить вирус.
 

Вложения

  • CollectionLog-2014.02.15-21.33.zip
    110.3 KB · Просмотры: 4

wladm

Новый пользователь
Сообщения
5
Реакции
0
Вот файлы из архива:
 

Вложения

  • info.txt
    35.1 KB · Просмотры: 1
  • log.txt
    24.7 KB · Просмотры: 1
  • SITLog.txt
    141.9 KB · Просмотры: 1
  • SITLog_Info.txt
    106.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    29 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30.8 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,621
Реакции
13,982
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Windows\Tasks\At1.job','32');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.


Пофиксите в HijackThis следующие строчки
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{7306A00B-3B8C-434A-8605-DD2CEB920E5E}: NameServer = 37.10.116.204,8.8.8.8


Обновите базы MBAM, проведите полное сканирование и после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
 

wladm

Новый пользователь
Сообщения
5
Реакции
0
Отправляю лог:
 

Вложения

  • MBAM-log-2014-02-16 (01-09-13).txt
    12 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,621
Реакции
13,982
Удалите в MBAM
Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Объекты реестра обнаружены: 4
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Плохо: (C:\Windows\system32\userinit.exe,C:\Windows\apppatch\gkpkhle.exe,) Хорошо: (userinit.exe) -> Действие не было предпринято.

Обнаруженные папки: 4
C:\Windows\assembly\GAC_MSIL\WebAltaSearch (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Windows\assembly\GAC_MSIL\WebAltaSearch\1.1.0.0__cae29f257fecba88 (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy\8B4BE00A16CF411DA94A986026CA63E6 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы: 34
C:\Users\Администратор\AppData\Roaming\java\libcurl-4.dll (Trojan.Miner) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Roaming\OpenCandy\8B4BE00A16CF411DA94A986026CA63E6\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

После перезапустите автологер и повторите сбор логов, посмотрим, что осталось
 

wladm

Новый пользователь
Сообщения
5
Реакции
0
Я не нашел, как удалить эти строки. Поэтому заново провел полную проверку, и удалил все что было после нее.
 

Вложения

  • info.txt
    32.2 KB · Просмотры: 0
  • log.txt
    24.6 KB · Просмотры: 2
  • SITLog.txt
    141.8 KB · Просмотры: 0
  • SITLog_Info.txt
    107.5 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    28.5 KB · Просмотры: 0
  • virusinfo_syscure.zip
    30 KB · Просмотры: 1

wladm

Новый пользователь
Сообщения
5
Реакции
0
VK стал нормально запускаться. Вроде бы все впорядке, спасибо огромное!
 

Вложения

  • SecurityCheck.txt
    3.1 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,621
Реакции
13,982
Обновляйтесь:
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено

-------------Java---------------------------------
Java 7 Update 21 v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u51-windows-i586.exe^
Java Auto Updater v.2.1.9.5
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 12 Plugin v.12.0.0.44
Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.32.0.1700.107
Opera 12.15 v.12.15.1748 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
-------------RunningProcess-----------------------

Рекомендации после удаления вредоносного ПО
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,621
Реакции
13,982
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,239
Реакции
6,418
+ Рекомендую воспользоваться рекомендациями из этой темы и убрать клоны адаптеров Microsoft 6to4 # цифра.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу