Прикрепляю необходимые логи по правилам раздела
заранее спасибо
Прикрепленные файлы:
-
TEST.rar 121,86К
41 Скачано раз
Поймал троян с вконтакте
Автор
uniquenickname
, авг 31 2009 23:29
29 ответов в этой теме
#1
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 31 Август 2009 - 23:29
Приветствую. Помогите, пожалуйста. у меня "в контактах" пришла ссылка, по которой я успешна прошел, не проверив заранее дрвебом, и походу подхватил троян. теперь, если пытаюст залезть на яндекс, рамблер и еще некоторые поисковики(и не только поисковики), то выходит страничка - в контакте. залогиниться не дает, пишет - error! надо заметить что при этом многие страници нормально грузятся. Комп проверял на вирусы дрвебом, ничего не нашел.
Прикрепляю необходимые логи по правилам раздела
заранее спасибо
Прикрепляю необходимые логи по правилам раздела
заранее спасибо
#2
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 31 Август 2009 - 23:32
Покажите файл c:\WINDOWS\system32\drivers\etc\hosts
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#3
sleb
-
- Posters
- 159 Сообщений:
Member
Отправлено 31 Август 2009 - 23:36
uniquenickname
Если пытались залогиниться на поддельной странице, то после излечения с помощью форума не забудьте поменять пароль от ВКонтакта.
Если пытались залогиниться на поддельной странице, то после излечения с помощью форума не забудьте поменять пароль от ВКонтакта.
Some are born to sweet delight, some are born to endless night. © William Blake
#5
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 31 Август 2009 - 23:48
Пофиксите в Хайджеке:
O4 - HKCU\..\Run: [13CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe
Файл проверьте на ВирусТотал и зашлите в Вирлаб: http://vms.drweb.com/sendvirus
Проверьте на ВирусТотал:
ACNotify.dll - если файл не найдется, пофиксите в Хайджеке: O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
C:\WINDOWS\system32\drivers\tdip.sys
C:\WINDOWS\system32\DRIVERS\asyncmac.sys
C:\WINDOWS\System32\drivers\Tppwrif.sys
C:\WINDOWS\system32\drivers\GS.sys
Знакомы ли Вам эти адреса:
O17 - HKLM\System\CCS\Services\Tcpip\..\{625DBD76-12B7-415D-9D71-881B8E7B5BE3}: NameServer = 10.82.130.37,10.81.30.75,10.127.4.25
O4 - HKCU\..\Run: [13CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe
Файл проверьте на ВирусТотал и зашлите в Вирлаб: http://vms.drweb.com/sendvirus
Проверьте на ВирусТотал:
ACNotify.dll - если файл не найдется, пофиксите в Хайджеке: O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
C:\WINDOWS\system32\drivers\tdip.sys
C:\WINDOWS\system32\DRIVERS\asyncmac.sys
C:\WINDOWS\System32\drivers\Tppwrif.sys
C:\WINDOWS\system32\drivers\GS.sys
Знакомы ли Вам эти адреса:
O17 - HKLM\System\CCS\Services\Tcpip\..\{625DBD76-12B7-415D-9D71-881B8E7B5BE3}: NameServer = 10.82.130.37,10.81.30.75,10.127.4.25
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#6
Malex
-
- Posters
- 1 070 Сообщений:
спасатель
Отправлено 31 Август 2009 - 23:51
Если я не ошибаюсь, то это был либо тест типа Узнай тайну своей фамилии, Узнай тайну своего имени, Узнай свой IQ?Приветствую. Помогите, пожалуйста. у меня "в контактах" пришла ссылка, по которой я успешна прошел, не проверив заранее дрвебом, и походу подхватил троян. теперь, если пытаюст залезть на яндекс, рамблер и еще некоторые поисковики(и не только поисковики), то выходит страничка - в контакте. залогиниться не дает, пишет - error! надо заметить что при этом многие страници нормально грузятся. Комп проверял на вирусы дрвебом, ничего не нашел.
Прикрепляю необходимые логи по правилам раздела
заранее спасибо
Официальный сертифицированный пользователь ПАК:
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
PC3000 UDMA & Data Extractor (производитель НПП АСЕ), Raid Explorer (производитель СОФТ-ЦЕНТР), Flash Extractor & Image Explorer (производитель СОФТ-ЦЕНТР), Victoria Full version (автор Сергей Казанский), R-Studio Data Recovery (производитель R-Tools Technology Inc.), GetDataBack for FAT (производитель Runtime Software), GetDataBack for NTFS (производитель Runtime Software), собственные разработки.
#7
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 31 Август 2009 - 23:53
Отредактируйте файл так, чтобы в нем оставались строки:вот файл...
127.0.0.1 localhost
и, если Вам строка знакома, то
194.154.64.32 rms.huawei.com # modified by IrmTool at 2009-09-01 00:23:35
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#8
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:00
IP-адреса внизу не знакомы
хочу проверить на ВирусТотал, но окно по ссылке http://www.virustotal.com/ru/ не открывается. ссылка верная?
хочу проверить на ВирусТотал, но окно по ссылке http://www.virustotal.com/ru/ не открывается. ссылка верная?
#9
sleb
-
- Posters
- 159 Сообщений:
Member
Отправлено 01 Сентябрь 2009 - 00:03
Ссылка верная. Отредактируйте файл hosts сперва, как советовал Borka.хочу проверить на ВирусТотал, но окно по ссылке http://www.virustotal.com/ru/ не открывается. ссылка верная?
Some are born to sweet delight, some are born to endless night. © William Blake
#10
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:11
все заработало! 
огромное спасибо парни!
огромное спасибо парни!
#11
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 01 Сентябрь 2009 - 00:15
Как насчет файлов и ссылок?все заработало!
огромное спасибо парни!
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#12
sleb
-
- Posters
- 159 Сообщений:
Member
Отправлено 01 Сентябрь 2009 - 00:15
Файлы указанные на Вирустотал проверяли? В вирлаб отправляли?все заработало! rolleyes.gif
огромное спасибо парни!
Some are born to sweet delight, some are born to endless night. © William Blake
#13
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:18
самую первую ссылку я фиксанул, файл удалился O4 - HKCU\..\Run: [13CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe
все же не могу перейти по ссылке на ВирусТотал...
все же не могу перейти по ссылке на ВирусТотал...
#14
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 01 Сентябрь 2009 - 00:26
Что значит "удалился"?самую первую ссылку я фиксанул, файл удалился O4 - HKCU\..\Run: [13CFG914-K641-26SF-N31P] C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe
Хайджек чистит только ссылки в реестре, но не удаляет файлы.Все лишнее удалили из файла hosts?все же не могу перейти по ссылке на ВирусТотал...
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#15
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:30
тогда я так понимаю что и не было файла... в поиске его не нахожу, а до того как пофиксить не поискал
вот прикрепляю файл hosts на всякий случай. все лишнее там удалил
вот прикрепляю файл hosts на всякий случай. все лишнее там удалил
Прикрепленные файлы:
-
hosts.rar 169байт
28 Скачано раз
#16
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:31
сейчас удалось залезть на вирустотал, сейчас все проверю
#17
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:41
проверил на вирустотале
3 файла 0%:
ACNotify.dll
C:\WINDOWS\system32\DRIVERS\asyncmac.sys
C:\WINDOWS\System32\drivers\Tppwrif.sys
еще 2 файла когда пытался отправить, отвечает что 0 bytes size received / Se ha recibido un archivo vacio:
C:\WINDOWS\system32\drivers\tdip.sys
C:\WINDOWS\system32\drivers\GS.sys
Несколько раз пытался отправить...
адреса O17 - HKLM\System\CCS\Services\Tcpip\..\{625DBD76-12B7-415D-9D71-881B8E7B5BE3}: NameServer = 10.82.130.37,10.81.30.75,10.127.4.25
мне не знакомы...
3 файла 0%:
ACNotify.dll
C:\WINDOWS\system32\DRIVERS\asyncmac.sys
C:\WINDOWS\System32\drivers\Tppwrif.sys
еще 2 файла когда пытался отправить, отвечает что 0 bytes size received / Se ha recibido un archivo vacio:
C:\WINDOWS\system32\drivers\tdip.sys
C:\WINDOWS\system32\drivers\GS.sys
Несколько раз пытался отправить...
адреса O17 - HKLM\System\CCS\Services\Tcpip\..\{625DBD76-12B7-415D-9D71-881B8E7B5BE3}: NameServer = 10.82.130.37,10.81.30.75,10.127.4.25
мне не знакомы...
#18
Borka
-
- Members
- 19 512 Сообщений:
Забанен за флуд
Отправлено 01 Сентябрь 2009 - 00:48
А Вы можете прочитать эти файлы, например, скопировать на другой диск или в другой каталог?еще 2 файла когда пытался отправить, отвечает что 0 bytes size received / Se ha recibido un archivo vacio:
C:\WINDOWS\system32\drivers\tdip.sys
C:\WINDOWS\system32\drivers\GS.sys
Несколько раз пытался отправить...
Уточните у админа адреса DNS.адреса O17 - HKLM\System\CCS\Services\Tcpip\..\{625DBD76-12B7-415D-9D71-881B8E7B5BE3}: NameServer = 10.82.130.37,10.81.30.75,10.127.4.25
мне не знакомы...
С уважением,
Борис А. Чертенко aka Borka.
Борис А. Чертенко aka Borka.
#19
uniquenickname
-
- Posters
- 12 Сообщений:
Newbie
Отправлено 01 Сентябрь 2009 - 00:52
скопировать или открыть файлы не дает - говорит что используются другим процессом
а насчет DNS адресов... у меня тут нет админа никакого я в инете сижу через 3G...
а насчет DNS адресов... у меня тут нет админа никакого
я в инете сижу через 3G...
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых
