161 ответов в этой теме

[maza177]

Здравствуйте ув. Специалисты, извините если тему создал не в нужном разделе.
Всю ночь бьюсь с проблемой, но никак решить её не могу. Перепробывал уже все методы и способы (не новичек). Готов даже оплатить сколько нужно, чтобы решить проблему!

И так: Обычой чисткой hosts не отделаешься. Это SMS-вымогатель в виде набора плагинов для браузеров! Как он попал ко мне точно сказать не могу.

Facebook, Mail.ru, Yandex, Google, Rambler и одноклассников, vk: просит активироваться по смс - а именно СМС подписка!
У меня host в порядке.

Заметил, если отключил в браузере javascript (картинка пропадает и можно работать)
Проверял всеми известными антивирусами, результатов 0 (проблема не решилась)
Скрин всего дела: ссылка на радикал http://s54.radikal.ru/i145/1301/9b/0cb50034be8c.jpg заходишь на майл, яндекс, соц. сети - везде такая табличка и везде она разная смотря куда зашел.
А, так-же спросить хочу такая фигня кеш (пароли) не ворует? - ОЧЕНЬ ВАЖНО ЗНАТЬ есть опасения или нет. А то данных много, как по работе, так и личного пользования.

Буду рад помощи, или даже оплачу услуги по чистке!

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[maza177]

в доктор вебе проверку сделал а как отчет получить не знаю, выкладываю файл что получилось

Прикрепленные файлы:

•  hijackthis.log   13,76К   8 Скачано раз

[Sealex]

O17 - HKLM\System\CS1\Services\Tcpip\..\{0905CC4B-4D89-4EA6-9D25-68853388BE32}: NameServer = 37.157.255.150
O4 - HKCU\..\Run: [cuitb] cmd.exe /c copy "C:\Temp\t1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Temp\jtobel.dll" && copy "\C:\Temp\dhvpr" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"
очень интересные строки

[Aleksandra]

Пофиксите в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailgosearch.ru
O4 - HKCU\..\Run: [cuitb] cmd.exe /c copy "C:\Temp\t1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Temp\jtobel.dll" && copy "\C:\Temp\dhvpr" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts"
O17 - HKLM\System\CCS\Services\Tcpip\..\{0905CC4B-4D89-4EA6-9D25-68853388BE32}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{8208DD93-DAC1-4184-8C6B-636DF692D8AD}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 37.157.255.150
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA77607-DADC-4F31-AF2A-A6C0C7BDDC6C}: NameServer = 37.157.255.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{0905CC4B-4D89-4EA6-9D25-68853388BE32}: NameServer = 37.157.255.150

Сделайте повторный лог.

Сообщение было изменено Aleksandra: 05 Январь 2013 - 09:15

[Aleksandra]

очень интересные строки

Ничего интересного. Все старо как мир...

p. s. Название темы понравилось.

[Sealex]

очень интересные строки

Ничего интересного. Все старо как мир...

p. s. Название темы понравилось.

Я об этом и говорю - что интересные (типичные) строки с точки зрения работы вируса

Сообщение было изменено Sealex: 05 Январь 2013 - 08:56

[Sealex]

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailgosearch.ru
http://mailgosearch.ru Dr.Web тоже не особо жалует - Нерекомендуемый сайт. Но это так, мелочи
И Temp-ы все лучше очистить

Сообщение было изменено Sealex: 05 Январь 2013 - 09:03

[maza177]

Уважаемые люди. Подскажите как решить мою проблему, программу какую скачать или что ручками удалять.

[Aleksandra]

Читайте пост #5.

Как фиксить http://wiki.drweb.com/index.php/HijackThis

[maza177]

ПОфиксил как сказали, вот свежий лог

Прикрепленные файлы:

•  hijackthis.log   12,87К   5 Скачано раз

[maza177]

Например в Хроме (браузер) постоянно устанвливается непонятный мне плагин, (zyJUSJbBLj 11.36) удаляю, опять прописывается. Имя у него всегда разное, я подметил, и ещё. В Опере (браузер) тоже в настройках левые файлы - удаляю снова восстанавливаются.

[maza177]

Проблема не решилась: Анти-спам проверка
С Вашего ip замечена подозрительная активность. Возможно, Ваш аккаунт пытались взломать. Подтвердите, что Вы являетесь владельцем данного аккаунта.
Введите номер Вашего телефона:


Все по прежнему.

[Aleksandra]

В Интернет как выходите?

[lw12]

Суслики наверное в папке юзвера болтаются.

[maza177]

Aleksandra, Интернет работает, вот сейчас пишу Вам с Internet Explorer, его как участника в вирусной системе нет. вот опять в оперу вошел в почту - опять каритинка почта антиспам. вконтакте тоже самое, фейсбук. так же.
Вообщем у меня все без изменений, может когда я пофиксил, мне стоит перегрузиться?! Сашуль?

[maza177]

lw12, Кто такие суслики - не вижу? А они есть ( © ДМБ)

[lw12]

последний раз напишу, больше не буду.
Вот моя подобная болезнь была http://forum.drweb.com/index.php?showtopic=312209
эта зараза еще для размножения паралелльно пассы от ФТП клиента ворует.

[Sealex]

lw12, Кто такие суслики - не вижу? А они есть ( © ДМБ)

Temp-ы очистите и перезагрузитесь. И проверьте снова

[Aleksandra]

Temp-ы очистите и перезагрузитесь. И проверьте снова

+1