Троян
 

Доброго день. Проблема в следующем. Ухватил какую то гадость- закрылся доступ на некоторые сайты- http://bestrepack.net/forum/tracker.php и почему то в твиттер. При попытке доступа в левом верхнем углу экрана мерцающая тильда. Естественно сразу полез в hosts- там всё в порядке. Стоит KIS 2012, установил Malwarebytes' Anti-Malware, просканировал систему- порядок. Откатился Акронисом на пол года назад- доступ открылся ровно на пол дня, после этого всё та же тилда. Как я понимаю переустановка системы ничего не даст. Проблема появилась после установки программы и к огромному сожалению не помню точного названия- что то вроде медиакодер, качалась на рутрекере, выбиралась по принципу количества сидов ( ну вроде как большое количество людей не может ошибаться), статус- проверена. Сейчас я её не нашел- возможно её снесли. В общем если можете помочь каким нибудь советом- был бы очень признателен.

и как нам разобраться без логов?

Выполните рекомендации полученные логи: virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt прикрепите к своей теме.

Прикрепил. Только этот не загрузился. log.txt:
Your file of 137.2 Kb bytes exceeds the forum's limit of 97.7 Kb for this filetype.

уберите из вложения info.txt и прикрепите log.txt.
если не будет влезать, упакуйте в архив

Заархивировал лог файл, а остальные логи постом выше. И ещё вопрос- может быть кто нибудь пользуется KIS 2012, может сама антивирь сайт в чёрный список внесла ? Хотя я пробовал каспера отключать, всё равно не входит...

Лог там не предусмотрен- сделал скрин результатов.

Сайты не открываются во всех браузерах?
И что происходит при открытии этих сайтов?

Нет, только 3. Из всех браузеров. Происходит то, что описано в самом верхнем посте- чистый экран и мерцающая тилда в левом верхнем углу экрана. Браузер ( любой) при этом прекрасно продолжает работать. На любые другие сайты- пожалуйста. Кроме этих. Повторюсь- hosts чист.

В командной строке
и
Перезагрузите компьютер и попробуйте...

По очереди вводить (если можно подробней, а то я с командной строкой не очень...) ?

Открывает командную строку, вводим первую команду, нажимаем энтер, ждем пока она выполнится (если предложит перезагрузиться - отказываемся). Вводим вторую команду, нажимаем энтер, ждем когда она выполнится и перезагружаемся.

всё то же самое. Спасибо за попытку...

в командной строке:
покажите, что напишет...

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Admin>tracert bestrepack.net

Трассировка маршрута к bestrepack.net [91.209.11.82]
с максимальным числом прыжков 30:

1 743 ms 858 ms 665 ms 195.5.5.186
2 194 ms 109 ms 54 ms 10.50.19.38
3 179 ms 367 ms 578 ms 246-95-207-82.ip.ukrtel.net [82.207.95.246]
4 651 ms 680 ms 369 ms 194.44.6.110
5 210 ms 273 ms 233 ms 82.11.209.91.internet.zt.ua [91.209.11.82]

Трассировка завершена.

C:\Users\Admin> Я поглядел что такое internet.zt.ua и не соображу каким я туда боком. Это провайдер из Житомира, я вроде как за тысячу километров оттуда нахожусь- в Донецке.

а теперь сделайте tracert для сайта который у Вас открывается.

У меня никакой сайт не открывается - голый экран с тилдой. А если попробовать то получается вот Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\Admin>tracert bestrepack.net/forum/tracker.php#results
Не удается разрешить системное имя узла bestrepack.net/forum/tracker.php#results
.

C:\Users\Admin> Меня собственно именно бестрепак больше всего и волнует- я на него в первую очередь войти не могу.

Вы же писали, что доступ закрылся только на некоторые сайты???

Я подредактировал прошлый пост- войти не могу на 3 сайта. Бестрепак, твиттер, и ещё один трекер- пслан. Значение имеет только один- bestrepack.net.

Это нормально...

Посмотрите настройки браузеров, может какое-нибудь незнакомое Вам дополнение стоит в них...

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте через форму в В теле сообщения укажите адрес своей темы и ник форуме. Результаты ответа, сообщите здесь, в теме.

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok -Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Отправил. Было написано консультант ответит в теме. Перед этим проверил ещё раз Malwarebytes Anti-Malware- вот лог.

Чёрт раздери, я не знаю какую скотинку я ухватил, но она ещё и заразная оказывается. Пользуюсь компьютером, а у матушки ноутбук. Когда у меня начались проблемы, для проверки работоспособности сайтов, через ноут я входил везде без проблем. Вчера через внешний жесткий диск закинул матери киношек. И всё на этом закончилось. Теперь и через ноутбук, на те же 3 сайта вход закрыт. Нет слов, одни слюни. МЛЯЯЯЯЯЯ !!!

Файл autorun.inf на внешнем диске есть(возможно файл скрытый и чтобы его увидеть нужно включить отображение скрытых файлов и папок)? Если есть покажите его содержимое...

Этот внешний диск участвовал в сканировании MBAM ?

Нет, не участвовал. Вот я сейчас его просканировал. Лог прикрепил- нет ни фига. + к этому особенность KIS это при подключении любого внешнего носителя, он обязательно предложит сканирование- быстрое или полное. Произвел полное- всё чисто. Кроме фильмов для медиаплеера там нет ничего, из дому он никогда не выносился, если чего то на нём и появилось то только с моего компьютера. Так и хочется сказать словами твоюмать горячо любимого поэта Пушкина- "...там чудеса, там леший бродит, русалка на ветвях сидит...". И опять мляяя. Три раза.

Трассировка верная, что-то с Вашей стороны блокирует. Надо смотреть настройки браузеров.
В IE (Сервис) - (Свойства обозревателя) - (Содержание) - (Включить) - (Разрешенные узлы).

И ещё. Мож я отупел совсем, но у меня совсем нет папки Documents and Settings . Вообще нет. Использую вместо проводника Directory Opus 10 x64- скрытые папки отображаются по умолчанию, виндоус есть, программ дата есть, документ энд сеттингс нету.

Сделал. Было пусто совсем, вставил http://bestrepack.net/forum/tracker.php#results разрешить. всегда. Попробовал перейти- опять тилда в углу экрана и всё. По умолчанию мозиллу использую.

А что на счет файла autorun.inf?

В семерке эта папка называется Users или Пользователи

Нету его или я не нашёл. Установил оперу, макстон и сафари. Во всех браузерах одно и то же- тилда. А, ага, папка Пользователи есть.

Попробую откатиться акронисом ещё раз, посмотрю, что конкретно меняется...

Откатился, все работает, везде вхожу- посмотрим надолго ли.

Никакие программы не устанавливал, никаких действий- только винда обновилась. И всё. Войти опять не могу.

Он работает нормально? лицензию или обновление не просит?

Конечно, откатился- ваша лицензия истекла- личный кабинет- ключ ввёл, каспер обновился. Ключи лицензионные- никаких сбросов триала и прочей хни. Если ещё день два ничего не придумается, прийдется идти побираться, брать у кого то ещё один жесткий диск внешний, запрещать автозапуск с внешних носителей, и форматировать свои винты к бениной маме. Проблема в объёме у меня 2 2-х тб винта стоит, процентов на 70 заполненных...

Тоже работает нормально и ничего не просит?

я в автозагрузку не ставил, он выключен, вернее после отката он у меня ещё и не установлен...

Или может прежде чем винты форматировать попробовать сразу после отката установить Malwarebytes' Anti-Malware пусть в режиме реального времени понаблюдает, влупить по полной контроль учётных записей (у меня отключён) и глянуть что получится ?

Пробуйте...

Если идей больше никаких, подожду до завтра ответа- куда я там "quarantine.zip" эту хрень отсылал, и буду пробовать.

•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Не пойму я вообще ни чего. С утра опять вошёл везде без проблем. Обновил касперского с 11 на 12 версию, всё. Опять тилда. Полез в настройки KIS внёс вроде везде сайты в разрешённые, в саппорт каспера написал. Ну и таки Комбофиксом воспользовался. Неужели антивирус в рамках борьбы с пиратством ?

Нет- такое не водится такого за антивирусом.

А с отключенным касперским доступ есть ??
У вас Windows Defender активен, вы им пользуетесь ?

Мне из службы антифишинга касперского ответили- ни в какие базы сайт не внесён. Защитник включён- зелёненьким светится. Попробовал KIS отключить- все равно не входит, дело не в нём.

Твою дивизию. Мой компьютер как вурдалак- кровь с меня пьёт. Всё работает без всяких действий с моей стороны. Спасибо всем за участие, не знаю, что это было и куда делось, тему наверное можно закрывать.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Удалил, спасибо за помощь.