Решена Вконтакте Вы пытаетесь зайти из необычного места

  • Автор темы Автор темы navoff
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.

navoff

Новый пользователь
Сообщения
7
Реакции
0
Добрый день!
При попытке зайти вконтакт вышеобозначенное сообщение.
Подскажите пожалуйста, что необходимо сделать?
Спасибо.
С уважением,
Владимир.
 

Вложения

Приветствую navoff, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
1. Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe','stop tcpip /y',0,15000,true);
if not IsWOW64
 then
  begin
   SearchRootkit(true,true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Temp\5400817FdOh','');
 QuarantineFile('C:\Users\navoff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mPK6BZA5ACU.exe','');
 QuarantineFileF('C:\ProgramData\h5Xudl2Mauo','*.*',false,'',0,0);
 DeleteFile('C:\Users\navoff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mPK6BZA5ACU.exe');
 DeleteFile('C:\Temp\5400817FdOh');
 DeleteFile('C:\Windows\tasks\At1.job');
 DeleteFileMask('C:\ProgramData\h5Xudl2Mauo','*.*',true);
 DeleteDirectory('C:\ProgramData\h5Xudl2Mauo'); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','5400973');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(1);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

2. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

3. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

4. Пофиксите в HJT эти строки (некоторых строк после выполнения скрипта AVZ может уже и не быть):
Код:
O1 - Hosts: 46.251.249.135 my.mail.ru www.vk.com m.vk.com vk.com
O1 - Hosts: 46.251.249.133 www.odnoklassniki.ru odnoklassniki.ru wap.odnoklassniki.ru m.odnoklassniki.ru
O1 - Hosts: 46.251.249.136 counter.spylog.com counter.rambler.ru www.google-analytics.com mc.yandex.ru admulti.com
O4 - HKLM\..\Run: [5400973] cmd.exe /c copy C:\Temp\5400817FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
O4 - Startup: mPK6BZA5ACU.exe
O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics Installer Class) - file:///C:/Temp/o3d6F96.tmp.cab
O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} (ParallelGraphics PlanEditor Control) - file:///C:/Temp/o3d66BE.tmp.cab

5. Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск -> выполнить. В поле "открыть" впишите команду:
C:\tdsskiller.exe -qmbr -qboot
Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine<at>safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме.
Лог после сканирования (файл TDSSKiller_версия_дата_время_log.txt) выложите сюда.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

7. Обновите:
Adobe Reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

8. Сделайте лог SecurityCheck by screen317

9. Внимание !!! База AVZ поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
И сделайте новые логи AVZ и Rsit и прикрепите их к сообщению.

10. Смените все свои пароли на сервисах в интернете.
 
Результаты сканирования

AVZ он тоже к вирусам записал.
Поскольку на ваш почтовый ящик не могу отправить пиьсмо( выдается ошибка: Статус доставки:

Reporting-MTA: dns; forward2.mail.yandex.net
X-Yandex-Queue-ID: 2BBD312A050E
X-Yandex-Sender: rfc822; navoffATya.ru
Arrival-Date: Mon, 12 Nov 2012 22:50:17 +0400 (MSK)

Final-Recipient: rfc822; quarantine@safezone.cc
Original-Recipient: rfc822;quarantine@safezone.cc
Action: failed
Status: 5.7.0
Remote-MTA: dns; ASPMX.L.GOOGLE.COM
Diagnostic-Code: smtp; 552-5.7.0 Our system detected an illegal attachment on
your message. Please 552-5.7.0 visit
http://support.google.com/mail/bin/answer.py?answer=6590 to 552 5.7.0
review our attachment guidelines. il9si5343131lab.26
прилагаю файлы в этом посте.
 

Вложения

Пардон ошибочка.

Не тот прицепил. Исправлюяюсь.
 
Последнее редактирование модератором:
И последний лог.

По предпоследнему пункту.
За допущенные грамматические ошбики прошу прощения.
 

Вложения

Подскажите пожалуйста.

Это уже больше для будующего. Правильно ли я понял, что эта "программа" записывала в .../etc/hosts некую шляпу: cmd.exe /c copy C:\Temp\5400817FdOh C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts /f
с аттрибутом /f?
Так вот, что же это за аттрибут? Или это для отвода глаз?
Сейчас все работает.
Спасибо.
 
Сейчас все работает.
Это хорошо, но необходимо удалить остатки вирусной активности:
1. Если МВАМ уже закрыли, тогда просканируйте заново и удалите только эти строки:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|explorer (Trojan.Agent) -> Параметры: C:\Users\navoff\ms.exe -> Действие не было предпринято.
C:\Windows\System32\IEUNITDRF.INF (Malware.Trace) -> Действие не было предпринято.
2. В целях безопасности UAC отключать не рекомендуется.

3. Обновите Adobe Reader до актуальной версии.

Так вот, что же это за аттрибут? Или это для отвода глаз?
/Y - подавление запроса подтверждения на перезапись существующего конечного файла, в нашем случае на перезапись hosts.
+H - скрытый
/f - функция, позволяющая не вводить полностью вручную в окне консоли пути к файлам или имена самих папок, а ввести только часть длинного пути и с помощью нажатия специальной комбинации клавиш дать операционной системе найти подходящие варианты и просто выбрать нужный.
Наберите поочередно в командной строке и почитайте
Если проблем больше нет, тогда
Рекомендации после лечения
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу