 |
|
|
07.05.2010, 23:07
|
#1 (ссылка) |
|
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
Ваш компьютер заблокирован за рассылку спама
Господа, еще раз обращаюсь - за последние лет 10 столько не хватал. Сегодня новая напасть - при открытии некоторых сайтов - типа rutracker.org, ya.ru - выходит баннер типа от kaspersky internet securty 2010 Запрашиваемый адрес не может быть предоставлен. Ваш компьютер заблокирован за рассылку спама. А дальше приглашение разблокировать компьютер и самое пикантное - ссылка на vkontakte.ru. У меня то аккаунта там нет - у ребенка есть, вроде он пароль не вводил. Если в мозилле в строке поиска ввести поиск по яндексу, просто выходит окно пустое и в левом верхнем углу 404.
http://exfile.ru/99206 - avz http://exfile.ru/99208 - hijack По логу hijack понятно что hosts нужно убрать, но может что то еще |
|
|
07.05.2010, 23:23
|
#2 (ссылка) |
|
Знаток
Регистрация: 01.03.2009
Сообщений: 3,546
Репутация: 260
|
denisns, 1.Запустите HijackThis 2. Нажмите кнопку "Do a system scan only" 3.В открывшемся логе сканирования поставить галочки напротив указанных строк
Код:
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe thxr.wgo nwfdtx F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\6f57da90.exe,\\?\globalroot\systemroot\system32\DtaEfja.exe,\\?\globalroot\systemroot\system32\BrSLuu4.exe,\\?\globalroot\systemroot\system32\uzEg7V1.exe,\\?\globalroot\systemroot\system32\4ptqLK3.exe,\\?\globalroot\systemroot\system32\0LDgyo9.exe,\\?\globalroot\systemroot\system32\qiDXXcB.exe,\\?\globalroot\systemroot\system32\eUEcjgp.exe,\\?\globalroot\systemroot\system32\mjErtkz.exe,\\?\globalroot\systemroot\system32\NthzXxM.exe,\\?\globalroot\systemroot\system32\eTpyvbS.exe,\\?\globalroot\systemroot\system32\2Fae3Jx.exe,\\?\globalroot\systemroot\system32\Z0EPDlM.exe,\\?\globalroot\systemroot\system32\zP1VYdo.exe, Запустите снова avz: Файл-Выполнить скрипт- в открывшееся окно внимательно вставьте текст: Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\6f57da90.exe');
DeleteFile('\\');
DeleteFile('thxr.wgo');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16 );
RebootWindows(true);
end.
замените hosts- файл С:\WINDOWS\system32\drivers\etc\hosts вот этим http://exfile.ru/90505 (удалив старый и на его место сохранив скачанный) Расширение у этого файла нет, поэтому проверьте чтоб не было всяких .txt перегрузите комп. |
|
|
|
07.05.2010, 23:37
|
#3 (ссылка) |
|
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
http://exfile.ru/99210 - hijack
---------- Добавлено в 22:37 ---------- Предыдущее сообщение было написано в 22:37 ---------- http://exfile.ru/99211 - avz Я по моему это уже за неделю третий раз удаляю - предотвратить как пока нет рецепта? |
|
|
|
07.05.2010, 23:39
|
#4 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
Скачайте RSIT . Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Чем из этого НЕ пользуетесь: Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Последний раз редактировалось help?; 07.05.2010 в 23:44. |
|
|
|
07.05.2010, 23:48
|
#6 (ссылка) |
|
Новичок
Регистрация: 02.05.2010
Сообщений: 34
Репутация: 0
|
http://exfile.ru/99213 rsit
Ребенку уже устроил допрос с пристрастием... - по линеечным сайтам только где то - там их и ловят на дурака похоже Из этих служб ничем не пользуюсь пока, включить потом смогу, так что советуйте. Хотя сам только иногда по работе через терминальный доступ подключаюсь, к моему компу нет. Comodo пожалуй поставлю... Только представляю картину - сидит дите, выходит сообщение - разрешить этому приложению то то... Он у меня добрый ))) Скажет разрешить )) Надеюсь в COMODO есть пароли на режимы настроек. К локалке не подключен. Точнее локалки дома нет. Но сам выход в интернет через обычную сетевую карту, свич в подъезде и т.п. Последний раз редактировалось denisns; 07.05.2010 в 23:55. |
|
|
|
08.05.2010, 00:00
|
#7 (ссылка) |
|
Заблокирован
Стажёр
Регистрация: 25.02.2010
Сообщений: 906
Репутация: 79
|
А >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
и это: >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей не нужно? |
|
|
|
08.05.2010, 00:35
|
#9 (ссылка) | |
|
Знаток
|
Цитата:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) То у вас, может не работать ваша сеть, так что наверное лучше это оставить! ---------- Добавлено в 19:35 ---------- Предыдущее сообщение было написано в 19:31 ---------- PS. Заплатки нужно поставить на Виндовс - с Виндовс Апдейт!!! Поставить новейшее приложени Java и флеш, короче залатать вашу систему, тогда будете меньше ловить вирусни!!! |
|
|
|
|
02.09.2010, 10:36
|
#10 (ссылка) |
|
Новичок
Регистрация: 02.09.2010
Сообщений: 1
Репутация: 0
|
Лекарство
Здравствуйте, форумчане. Специально зарегилась чтобы помочь) Данная проблема коснулась и меня.. После долгих мучений я нашла лекарство..проще и не придумаешь!
Данный вирус поганит только файл HOSTS. Он инфицирует его и делает скрытым! Вы его не увидите. Вместо него он создаёт копию подделку и прописывает там всем известное вам сообщение с просьбой отправиьт смс и не мучаться. Не паникуйте! выход есть! Качаем целочный файл http://files.mail.ru/L8BAVT. Далее копируем его целиком. Не содержимое файла, а ЦЕЛИКОМ файл. Идём по схеме: C:\WINDOWS\system32\drivers\etc наодим там файл hosts. Удаляем его ПОЛНОСТЬЮ! И вместо него в эту папку вставляем наш скаченный файл. Система вас спросит заменить? ДА! Теперь вы увидите что несмотря на то что файл вы как бы удалили, на самом деле вы удалили его двойник, а настоящий инфицированный был просто скрыт. Вуаля)) Удачи! Последний раз редактировалось Feanora; 02.09.2010 в 10:44. |
|
|
|
07.09.2010, 21:26
|
#12 (ссылка) | |
|
Новичок
Регистрация: 07.09.2010
Сообщений: 9
Репутация: 0
|
Цитата:
Помогите, люди добрые! Хостс чистила, заменяла, файл с раширением txt удалила, не могу реестр настроить!!! Нет у меня ProxyServer!!! Есть только proxyenable! Значения везде вроде 0... Работаю через Оперу. Комп включу, оперу открываю вылазит эта дрянь, ничего не ввожу, открываю оперу заново - все в порядке. Ну что делать? Пошагово объясните блондинке! |
|
|
|
|
08.09.2010, 00:51
|
#13 (ссылка) |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
kisska132, http://pchelpforum.ru/f26/t35642/
|
|
|
|
10.09.2010, 10:19
|
#14 (ссылка) | |
|
Новичок
Регистрация: 10.09.2010
Сообщений: 1
Репутация: 0
|
Цитата:
Спасибо тебе огромное!! Все работает!! =) Люди, это проверенный способо, как избавиться от этой фигни!!! Юзайте его!! |
|
|
|
|
30.09.2010, 16:05
|
#15 (ссылка) | |
|
Новичок
Регистрация: 30.09.2010
Сообщений: 1
Репутация: 0
|
Цитата:
 Всё работает))
|
|
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
