Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] проблема с входом в соц.сети . (http://forum.oszone.net/showthread.php?t=249452)

kazimir 18-12-2012 21:43 2048356
проблема с входом в соц.сети .
 
добрый вечер . прощу помочь . при входе в контакте и однокласники требуют телефон .иногда пишут - неправильный логин и пороль . в общем никак не войти . логи .http://rghost.ru/42342601

regist 18-12-2012 22:04 2048376
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\8BAD~1\AppData\Local\Temp\985052aq','');
 DeleteFile('C:\Users\8BAD~1\AppData\Local\Temp\985052aq');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','42');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(10);
 ExecuteRepair(13);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

отпишитесь, что с проблемой.

kazimir 18-12-2012 22:45 2048403
спасибо . в одноклассники влез . а в контакт пороль был сохранён браузере - после очистки исчез . комп не мой . думаю и в ВК норма . новые логи .http://rghost.ru/42344579

regist 18-12-2012 23:28 2048417
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(10);
RebootWindows(false);
end.
после выполнения скрипта компьютер перезагрузится.


Сделайте новый лог virusinfo_syscheck.zip.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.

--------
зы. AVZ при выполнение скрипта запускали правой кнопкой от имени администратора ?

kazimir 18-12-2012 23:44 2048427
запускал утилиты от админа . новый virusinfo_syscheck.zip http://rghost.ru/42346182 . ща займусь SecurityCheck by glax24 .

Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 18.12.2012 23:46:03
Program directory: C:\Users\Алена\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.8
__________________________________________________

WIN_7(6.1) Build 7601 (x64) HomeBasic Lan:0419
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-12-18 15:11:16
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET Smart Security 5.0
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
ESET Smart Security 5.0
Windows Defender
-------------OtherUtilities-----------------------
CCleaner v.3.15
TuneUp Utilities 2011 v.10.0.2020.1
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin 64-bit v.11.1.102.55 Внимание! Скачать обновления
Adobe Reader 9.1 - Russian v.9.1.0 Внимание! Скачать обновления
Adobe Flash Player 10 ActiveX v.10.1.53.64 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 12.0 (x86 ru) v.12.0 Внимание! Скачать обновления
Opera 11.51 v.11.51.1087 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.12.0.0.4493
-------------EndLog-------------------------------

в однокласники норма захожу .

alex_sev 19-12-2012 09:27 2048601
Скачивайте и устанавливайте обновления по ссылкам из Вашего поста

kazimir 19-12-2012 12:25 2048731
спасибо . и на этом с лечением всё , чисто ?

alex_sev 19-12-2012 12:42 2048743
Рекомендации после лечения:

http://forum.oszone.net/post-1838507-9.html

kazimir 19-12-2012 12:57 2048755
в контакте просят подтвердить телефон . это админ ВК делает или аферисты ?

[IMG][/IMG]

alex_sev 19-12-2012 13:03 2048760
Вы видите адрес или нет:

hxxp://vk.com.717k.ru/?flow_id=1965&

это явно не адрес контакта

regist 19-12-2012 13:11 2048767
Сделайте новый набор логов по правилам.

+
kazimir, в контакте ввели обязательную привязку к телефону, поэтому если раньше не привязали к номеру телефона, то сейчас без этого не впустит. Укажите свой номер, вам пришлют смс. На сайте надо будет указать код. Никаких смс никуда отсылать не надо! Если попросят послать смс, значит развод.

а на одноклассники нормально заходит ?

kazimir 19-12-2012 13:18 2048773
ща попробуем дать телефон .

regist 19-12-2012 13:35 2048791
kazimir, проблема только с контактом или в одноклассники тоже не пускает ? адрес сайта на скрине левый, так что сначала давайте логи ещё раз проверимся.

да и логи лучше прикрепляйте, через вложения

+ откройте в блокноте и покажите содержимое файла

Код:
C:\windows\tasks\At1.job

kazimir 19-12-2012 14:03 2048832
нагрели на 100руб. скинул смс подтверждения ВК и сняли 100руб . вчера вечером в одноклассники входил . ша опять не пускает .

 –4№v"Hі˜ґп¬MяF r <
s   а!Ь       c m d . e x e ] / c c o p y C : \ U s e r s \ 8 B A D ~ 1 \ A p p D a t a \ L o c a l \ T e m p \ 9 8 5 0 5 2 a q C : \ w i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d .   0 Ь      Ю=ИЃ±4aЅrНАмУ&Яў
эI&‹Ь<»†0ФЫT¦л,MЗ|ћЈщhQ[15$P!/µЦJ6w

regist 19-12-2012 14:05 2048836
зачем смс скинули :(
написал же
Цитата:
Цитата regist
На сайте надо будет указать код. Никаких смс никуда отсылать не надо! Если попросят послать смс, значит развод. »
C:\windows\tasks\At1.job - удалите и сделайте новые логи.

kazimir 19-12-2012 14:33 2048869
смс отправил т.к. на болансе было +8руб . думал напишут Недостаточно средств . а они в _ загнали . это билик сволоч .
новые логи .в одноклассниках пишут Неправильные логин и пороль .

alex_sev 19-12-2012 14:50 2048881
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\windows\tasks\At1.job','');
 QuarantineFile('C:\windows\tasks\At2.job','');
 DeleteFile('C:\windows\tasks\At1.job');
 DeleteFile('C:\windows\tasks\At2.job');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(13);
 ExecuteRepair(10);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O1 - Hosts: 37.10.117.71 odnoklassniki.ru m.odnoklassniki.ru vk.com wap.odnoklassniki.ru www.odnoklassniki.ru m.vk.com my.mail.ru
O1 - Hosts: 37.10.117.68 counter.rambler.ru www.google-analytics.com mc.yandex.ru admulti.com counter.spylog.com
Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

regist 19-12-2012 14:53 2048885
+ к написанному выше
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

kazimir 19-12-2012 15:20 2048910
в HiJackThis таких строчек нету .

regist 19-12-2012 15:22 2048915
Цитата:
Цитата alex_sev
(некоторые строки могут отсутствовать): »
выполняйте всё остальное.

kazimir 19-12-2012 16:26 2048968
логи

kazimir 19-12-2012 16:30 2048972
# AdwCleaner v2.101 - Logfile created 12/19/2012 at 16:28:33
# Updated 16/12/2012 by Xplode
# Operating system : Windows 7 Home Basic Service Pack 1 (64 bits)
# User : Алена - АЛЕНА-ПК
# Boot Mode : Normal
# Running from : C:\Users\Алена\Desktop\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Registry is clean.

-\\ Mozilla Firefox v12.0 (ru)

Profile name : default
File : C:\Users\Алена\AppData\Roaming\Mozilla\Firefox\Profiles\9zessehq.default\prefs.js

Found : user_pref("extensions.toolbar@ask.com.install-event-fired", true);

-\\ Google Chrome v [Unable to get version]

File : C:\Users\Алена\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

-\\ Chromium vs.gd/UPDATES

File : C:\Users\Алена\AppData\Local\Chromium\User Data\Default\Preferences

[OK] File is clean.

-\\ Opera v11.51.1087.0

File : C:\Users\Алена\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [1144 octets] - [19/12/2012 16:28:33]

########## EOF - C:\AdwCleaner[R1].txt - [1204 octets] ##########

alex_sev 19-12-2012 16:30 2048973
А остальные?

kazimir 19-12-2012 17:06 2049004
мбам сканирует .

alex_sev 19-12-2012 17:23 2049031
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!


далее:

  • Подготовьте лог OTL by OldTimer, как описано на этой странице.
  • Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
  • Если логи не прикрепляются запакуйте их в архив.

kazimir 19-12-2012 17:51 2049061
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Версия базы данных: v2012.12.19.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Алена :: АЛЕНА-ПК [администратор]

19.12.2012 17:24:54
mbam-log-2012-12-19 (17-49-52)11.txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 371985
Времени прошло: 24 минут , 31 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 1
C:\Users\Алена\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\974IIXN7\calc[1].exe (Backdoor.Bot) -> Действие не было предпринято.

(конец)

чо мбам нашёл я грохнул .

kazimir 19-12-2012 18:22 2049093
отчёт отл

kazimir 19-12-2012 18:25 2049098
в однокласгники вхожу . ВК пороля нет .

alex_sev 19-12-2012 20:50 2049226
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    killallprocesses
    :OTL
    CHR - homepage: http://is.gd/UPDATES
    O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
    O18:64bit: - Protocol\Handler\livecall - No CLSID value found
    O18:64bit: - Protocol\Handler\msnim - No CLSID value found
    O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
    O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
    O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    MsConfig:64bit - State: "startup" - Reg Error: Key error.
    [2009.07.14 08:55:00 | 000,000,227 | RHS- | M] () -- C:\windows\assembly\Desktop.ini

    :Services

    :Files

    ipconfig /flushdns /c
    :Reg

    :Commands
    [EMPTYTEMP]
    [purity]
    [start explorer]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Проверьте во всех браузерах стартовую страницу и исправьте, например на http://google.ru или пустую, как описано здесь:

http://safezone.cc/forum/showthread.php?t=18197

regist 19-12-2012 20:57 2049228
+
Учтите, что адрес _http://is.gd/UPDATES это от зловреда. Этот адрес видно у вас в настройках мозилы и хрома.

kazimir 19-12-2012 20:58 2049229
СПАСИБО .
я пустил восстановление системы и вернул на дату до проблемы и всё норма .завершаем лечение .
моно вопрос ? почему вы не используете uVS ?

alex_sev 19-12-2012 21:09 2049237
Почему не используем - используем, например сегодня:

http://forum.oszone.net/thread-249530.html
http://forum.oszone.net/thread-249486.html


Время: 15:41.

Время: 15:41.
© OSzone.net 2001-