Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Помогите вылечить компьютер от Trojan.Zekos (http://forum.oszone.net/showthread.php?t=285449)

ivan.916 22-07-2014 20:02 2379910
Помогите вылечить компьютер от Trojan.Zekos
 
Не знаю где подцепил этот троян. Сперва в одноклассниках было "«Ваша страница была заблокирована по подозрению на взлом! Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон»."
Проверял разными сканерами, ничего не нашлось. Переустановил систему. Сегодня опять это повторилось...
Вот подробное описание этого трояна http://www.freedrweb.com/show/?i=3447&c=19&lng=ru

Почему вирус не удалился после переустановки системы?

thyrex 22-07-2014 21:37 2379965
Выполните правила

ivan.916 22-07-2014 21:48 2379971
Пробовал записывать на флешку DrWeb LiveUSB при загрузке возникает ошибка multiple active partitions

ivan.916 23-07-2014 16:47 2380278
Вложений: 1
Всё сделал по инструкции. Помогите пожалуйста.
Файл 115452

ivan.916 23-07-2014 16:51 2380280
thyrex, Выполнил.

Sandor 23-07-2014 17:06 2380293
Здравствуйте!

Цитата:
Цитата ivan.916
Сперва в одноклассниках было »
Такое проявляется только на этом сайте, в любом браузере?

В логах кроме уязвимостей IE ничего плохого не видно.


Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

Сделайте дополнительно:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

ivan.916 23-07-2014 17:14 2380295
Цитата:
Цитата Sandor
Такое проявляется только на этом сайте, в любом браузере? »
В браузере Opera и Google Chrome после ввода логина и пароля в одноклассники вообще не заходит.
Вчера предлагали ввести номер.
Вконтакте сперва предлагается ввести код с картинки, потом вот что: "Денис, мы зафиксировали попытку взлома Вашей страницы.
Не беспокойтесь, она в безопасности.
Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль."

Sandor 23-07-2014 17:17 2380296
Проверьте в Internet Explorer-е и в портативном браузере.

ivan.916 23-07-2014 17:35 2380308
Вложений: 1
Скрипт выполнил.
Вот лог:
Файл 115455
В Internet Explorer не заходит. "Ваша страница была заблокирована по подозрению на взлом!
Наша система безопасности выявила массовую рассылку спам-сообщений с Вашего аккаунта, и мы были вынуждены временно заблокировать его. Для восстановления доступа к аккаунту Вам необходимо пройти валидацию через мобильный телефон.
Введите номер Вашего мобильного телефона в форму ниже: "
В портативном браузере не входит вообще и очень сильно тормозит компьютер.

ivan.916 23-07-2014 17:43 2380312
:( :( :(

Sandor 23-07-2014 17:44 2380313
К сети подключаетесь через роутер? Если да, один компьютер?

ivan.916 23-07-2014 17:45 2380315
Sandor, Да. Один.

Sandor 23-07-2014 17:46 2380316
Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на вход в настройки роутера, очистите куки и кэш браузеров.
Проверьте.

ivan.916 23-07-2014 17:59 2380321
Sandor, Сделал. Очистил браузер Opera - одноклассники работают! Очистил Google Chrome - тоже работают!

Sandor, Не заходит вконтакт: "Денис, мы зафиксировали попытку взлома Вашей страницы.
Не беспокойтесь, она в безопасности.
Чтобы обезопасить Вашу страницу от злоумышленников и в будущем, мы просим Вас подтвердить привязку к телефону и придумать новый сложный пароль."
При входе с обоих браузеров нужно ввести капчу

Sandor 23-07-2014 23:16 2380442
Возможно в контакте легальный запрос смены пароля.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения

ivan.916 23-07-2014 23:56 2380453
Sandor, http://forum.kasperskyclub.ru/index.php?showtopic=43669

ivan.916 24-07-2014 00:01 2380454
Вложений: 1
Файл 115460

iskander-k 24-07-2014 22:32 2380976
ivan.916, Желательно обновить указанное.

Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 23.07.2014 23:58:31
Run directory: C:\Users\Денис\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.8
__________________________________________________

Windows 8.1 (6.3.9200) (x86) Professional Lang: Russian(0419)
Дата установки ОС: 19.07.2014 06:56:27
Статус лицензии: Office 15, OfficeStandardVL_KMS_Client edition Срок истечения многопользовательской активации: 254100 мин.
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 252691 мин.
Системный диск: C:\ ФС: NTFS Емкость: [34.2 Гб] Занято: [15.9 Гб] Свободно: [18.3 Гб]
Браузер по умолчанию: C:\Windows\system32\OpenWith.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.17207 [+]
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2014-07-19 07:20:56
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Восстановление системы отключено
-------------Antivirus_WMI------------------------
ESET Smart Security 7.0
Антивирус устарел
Windows Defender
-------------Firewall_WMI-------------------------
Персональный файервол ESET
-------------AntiSpyware_WMI----------------------
Windows Defender
ESET Smart Security 7.0
-------------AntiVirusFirewallInstall-------------
ESET Smart Security v.7.0.317.4
-------------OtherUtilities-----------------------
CCleaner v.4.15
Malwarebytes Anti-Malware, версия 2.0.2.1012 v.2.0.2.1012
-------------Browser------------------------------
Google Chrome v.36.0.1985.125 [+]
Opera Stable 23.0.1522.60 v.23.0.1522.60 [+]
-------------EndLog-------------------------------


Время: 20:52.

Время: 20:52.
© OSzone.net 2001-