Вирус просит ввести на сайтах номер телефона и подтвердить его кодом из смс

@rusiga · Регистрация: 08.01.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте. Не получается зайти на сайты с браузера Опера vk.com, mail.ru и т.д. просит ввести номер телефона, а затем подтвердить по смс (что то похожее на флеш анимацию). Буду очень признателен за помощь.

@~~Katharsis~~ · 08.01.2013, 21:29

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. В логе сканирования Hijackthis отметьте:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru

нажмите "Fix checked"
в браузерах поменяйте домашние страницы на нужные

2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\Odmin\AppData\Roaming\taskhost.exe','');
 DeleteFile('C:\Users\Odmin\AppData\Roaming\taskhost.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3. Сделайте новые логи AVZ (стандартный скрипт 2) и RSIT

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@rusiga · 08.01.2013, 21:58 **[ТС]**

info.txt и virusinfo_syscure.zip не обновились, они не нужны?

@~~Katharsis~~ · 08.01.2013, 22:02

Сообщение от rusiga

они не нужны?

\\нет

@rusiga · 09.01.2013, 01:06 **[ТС]**

Спасибо, просканировал.

@shestale · 09.01.2013, 07:40

Удалите в МВАМ

Обнаруженные ключи в реестре: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QipGuard (Spyware.Zbot) -> Действие не было предпринято.
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\joom_resurs.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято.

Что с проблемой?

@rusiga · 09.01.2013, 18:11 **[ТС]**

все указания выполнил. Проблема не исчезла.

@~~Katharsis~~ · 09.01.2013, 18:36

Почистите браузеры с помощью AVZ

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

если пробовать зайти с другого компьютера, есть это сообщение?

@rusiga · 09.01.2013, 18:41 **[ТС]**

Спасибо. Попробую. С другого компьютера/телефона данных сообщений нет.

@~~Katharsis~~ · 09.01.2013, 18:48

сообщите потом результат

@rusiga · 09.01.2013, 19:12 **[ТС]**

к сожалению не помогло. Что еще можно попробовать?

@~~Katharsis~~ · 09.01.2013, 19:22

1. опишите тип подключения к сети

выполните в командной строке :

ipconfig /all > C:\ipconfig.txt

C:\ipconfig.txt - выложите

2. с подключенным интернетом сделайте такой лог

@rusiga · 09.01.2013, 20:03 **[ТС]**

готово

@shestale · 09.01.2013, 20:23

+
Откройте блокнотом и покажите содержимое файла

C:\Windows\System32\drivers\etc\hosts

@rusiga · 09.01.2013, 20:26 **[ТС]**

его пару дней назад уже обновил курейт

hosts:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# This HOSTS file created by Dr.Web Anti-rootkit API

# 127.0.0.1 localhost
# ::1 localhost

@~~Katharsis~~ · 09.01.2013, 21:15

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в [url=http://safezone.cc/forum/showthread.php?t=2773]"ComboFix. Руководство по применению

@rusiga · 09.01.2013, 21:18 **[ТС]**

обнаржил, что если зайти в firefox в безопасном режиме, то все нормально (т.е. никаких номеров телефонов не просит на сайтах, касперский не ругается), аналогично в opera при отключении JavaScript. В чем же может быть проблема? никак ведь не получается победить.

@~~Katharsis~~ · 09.01.2013, 21:24

пост выше прочитайте

@rusiga · 10.01.2013, 21:50 **[ТС]**

запускаю Combofix, но через время он зависает, хотя как написано в инструкции ничего не нажимаю, можно сказать даже не подхожу к пк. Попробую еще раз

@~~Katharsis~~ · 10.01.2013, 21:50

в безопасном режиме запустите

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	09.01.2013, 20:23	14
	+ Откройте блокнотом и покажите содержимое файла C:\Windows\System32\drivers\etc\hosts 1

@~~Katharsis~~ Заблокирован
	09.01.2013, 21:15	16
	Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в [url=http://safezone.cc/forum/showthread.php?t=2773]"ComboFix. Руководство по применению 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	09.01.2013, 21:18 [ТС]	17
	обнаржил, что если зайти в firefox в безопасном режиме, то все нормально (т.е. никаких номеров телефонов не просит на сайтах, касперский не ругается), аналогично в opera при отключении JavaScript. В чем же может быть проблема? никак ведь не получается победить. 0

@~~Katharsis~~ Заблокирован
	08.01.2013, 21:29	2
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. _______________________________________________________ 1. В логе сканирования Hijackthis отметьте: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru нажмите "Fix checked" в браузерах поменяйте домашние страницы на нужные 2. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Odmin\AppData\Roaming\taskhost.exe',''); DeleteFile('C:\Users\Odmin\AppData\Roaming\taskhost.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 3. Сделайте новые логи AVZ (стандартный скрипт 2) и RSIT 4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 1

@~~Katharsis~~ Заблокирован
	08.01.2013, 22:02	4
	Сообщение от rusiga они не нужны? \\нет 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	09.01.2013, 07:40	6
	Удалите в МВАМ Обнаруженные ключи в реестре: 4 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QipGuard (Spyware.Zbot) -> Действие не было предпринято. HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято. HKCR\joom_resurs.eProtocol (Trojan.WebMoner) -> Действие не было предпринято. HKLM\SOFTWARE\StimulProfit (Adware.Agent) -> Действие не было предпринято. Что с проблемой? 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	09.01.2013, 18:11 [ТС]	7
	все указания выполнил. Проблема не исчезла. Миниатюры 0

@~~Katharsis~~ Заблокирован
	09.01.2013, 18:36	8
	Почистите браузеры с помощью AVZ меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте: очистка папки TEMP очистка временных файлов adobe flash player очистка кэш macromedia очистка системной папки TEMP очистка кэша всех браузеров, какие есть в списке если пробовать зайти с другого компьютера, есть это сообщение? 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	09.01.2013, 18:41 [ТС]	9
	Спасибо. Попробую. С другого компьютера/телефона данных сообщений нет. 0

@~~Katharsis~~ Заблокирован
	09.01.2013, 18:48	10
	сообщите потом результат 0

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	09.01.2013, 19:12 [ТС]	11
	к сожалению не помогло. Что еще можно попробовать? 0

@~~Katharsis~~ Заблокирован
	09.01.2013, 19:22	12
	1. опишите тип подключения к сети выполните в командной строке : ipconfig /all > C:\ipconfig.txt C:\ipconfig.txt - выложите 2. с подключенным интернетом сделайте такой лог 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	09.01.2013, 20:26 [ТС]	15
	его пару дней назад уже обновил курейт hosts: # Copyright (c) 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # This HOSTS file created by Dr.Web Anti-rootkit API # 127.0.0.1 localhost # ::1 localhost 0

	10.01.2013, 21:50

@~~Katharsis~~ Заблокирован
	09.01.2013, 21:24	18
	пост выше прочитайте 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	10.01.2013, 21:50 [ТС]	19
	запускаю Combofix, но через время он зависает, хотя как написано в инструкции ничего не нажимаю, можно сказать даже не подхожу к пк. Попробую еще раз 0

@~~Katharsis~~ Заблокирован
	10.01.2013, 21:50	20
	в безопасном режиме запустите 1