epoclick + взлом vkontakte

@dbaik · Регистрация: 18.04.2011

Author24 — интернет-сервис помощи студентам

Постоянно выбрасыет из любого браузера на страницу какого нить поисковика или epoclick

а также на протяжении последнего времени взламывается страничка в контакте, хотя пароли меняные и сложные.

логи в аттаче

@~~Katharsis~~ · 20.04.2011, 00:50

В логе сканирования Hijackthis отметьте:

R3 - URLSearchHook: (no name) - - (no file)

нажмите "Fix checked"

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

PROMNET-NET - ваш провайдер?

Известно, что за назначенные задания?

C:\Windows\tasks\{7C68C7F6-8CCC-4117-8703-61C3F1E66A47}.job
C:\Windows\tasks\{91178EF2-1C71-4FF6-A247-86F9E54BD77B}.job

@dbaik · 20.04.2011, 01:11 **[ТС]**

Сообщение от Katharsis

В логе сканирования Hijackthis отметьте:
нажмите "Fix checked"

это есть

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

есть смысл сканировать, если не удалось обновиться как автоматически, так и по ссылке?

PROMNET-NET - ваш провайдер?

Известно, что за назначенные задания?

на оба вопроса ответ "НЕТ"...

@~~Katharsis~~ · 20.04.2011, 22:24

93.188.164.36,93.188.160.106 - точно не ваши DNS? Узнайте у провайдера правильные.

Сообщение от dbaik

есть смысл сканировать, если не удалось обновиться как автоматически, так и по ссылке?

Скачать удалось, а обновить не можете? Не ко всем антивирусным ресурсам есть доступ? Делайте без обновления.

Сообщение от dbaik

Известно, что за назначенные задания?

Значит удалим.

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\tasks\{91178EF2-1C71-4FF6-A247-86F9E54BD77B}.job'); 
 DeleteFile('C:\Windows\tasks\{7C68C7F6-8CCC-4117-8703-61C3F1E66A47}.job');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится

лог avz повторите

@dbaik · 20.04.2011, 22:35 **[ТС]**

Сообщение от Katharsis

93.188.164.36,93.188.160.106 - точно не ваши DNS? Узнайте у провайдера правильные.

мои 109.86.2.2, 109.86.2.21

Скачать удалось, а обновить не можете? Не ко всем антивирусным ресурсам есть доступ? Делайте без обновления.

Значит удалим.

Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Windows\tasks\{91178EF2-1C71-4FF6-A247-86F9E54BD77B}.job'); 
 DeleteFile('C:\Windows\tasks\{7C68C7F6-8CCC-4117-8703-61C3F1E66A47}.job');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится

лог avz повторите

сделал без обновления, логи в аттаче

@~~Katharsis~~ · 20.04.2011, 23:08

большие цитаты вставлять не нужно.

Сообщение от dbaik

логи в аттаче

не вижу

DNS в настройках подключения замените на правильные:
подключение - сеть - "протокол интернета версии4 tcp/ipv4" - кнопка "свойства" - вкладка "общие" - раздел "использоватьь следующие адреса DNS серверов". Впишите 109.86.2.2 как основной и 109.86.2.21 как альтернативный.

@dbaik · 20.04.2011, 23:44 **[ТС]**

не вижу

вот логи

@dbaik · 21.04.2011, 00:02 **[ТС]**

Сообщение от Katharsis

DNS в настройках подключения замените на правильные:

заменил

@~~Katharsis~~ · 21.04.2011, 00:52

в mbam удалите:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{7D887B40-CBC8-48F5-B3F7-60F846D4573C}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.

Обновите базы и повторите лог. Теперь не должно вас перекидывать на левые сайты.

@dbaik · 21.04.2011, 02:15 **[ТС]**

обновился, нашел только

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.

удалил,

логи:

@~~Katharsis~~ · 21.04.2011, 12:26

Доудалите в mbam (отметьте, нажмите кнопку "удалить"):

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken.

Заражённые файлы:
c:\Users\dbaik\doctorweb\quarantine\CW.exe (Hoax.ArchSMS) -> No action taken.

лог mbam ещё раз повторите

@dbaik · 22.04.2011, 08:50 **[ТС]**

удалил, лог:

@~~Katharsis~~ · 22.04.2011, 10:34

Сейчас перекидывает на левые сайты?

@dbaik · 22.04.2011, 11:23 **[ТС]**

замечено не было. Подскажите, пожалуйста, как в дальнейшем защитить компьютер от заразы?

@~~Katharsis~~ · 22.04.2011, 11:33

Пароли от контакта и другие поменяйте ещё раз.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

Если больше никаких проблем не возникает, то:

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.
- регулярно проверять систему антивирусными утилитами CureIT и AVPTool

@dbaik · 22.04.2011, 11:45 **[ТС]**

Сообщение от Katharsis

- не работать за компьютером с правами администратора

в win7, по умолчанию, ведь не с правами админа?

@~~Katharsis~~ · 22.04.2011, 11:46

Сообщение от Katharsis

- не работать за компьютером с правами администратора

Да, это больше XP касается

@~~Katharsis~~ Заблокирован
	22.04.2011, 10:34	13
	Сейчас перекидывает на левые сайты? 0

@dbaik 0 / 0 / 0 Регистрация: 18.04.2011 Сообщений: 12
	22.04.2011, 11:23 [ТС]	14
	замечено не было. Подскажите, пожалуйста, как в дальнейшем защитить компьютер от заразы? 0

@~~Katharsis~~ Заблокирован
	20.04.2011, 00:50	2
	В логе сканирования Hijackthis отметьте: R3 - URLSearchHook: (no name) - - (no file) нажмите "Fix checked" Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. PROMNET-NET - ваш провайдер? Известно, что за назначенные задания? C:\Windows\tasks\{7C68C7F6-8CCC-4117-8703-61C3F1E66A47}.job C:\Windows\tasks\{91178EF2-1C71-4FF6-A247-86F9E54BD77B}.job 1

@dbaik 0 / 0 / 0 Регистрация: 18.04.2011 Сообщений: 12
	20.04.2011, 01:11 [ТС]	3
	Сообщение от Katharsis В логе сканирования Hijackthis отметьте: нажмите "Fix checked" это есть Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. есть смысл сканировать, если не удалось обновиться как автоматически, так и по ссылке? PROMNET-NET - ваш провайдер? Известно, что за назначенные задания? на оба вопроса ответ "НЕТ"... 0

@~~Katharsis~~ Заблокирован
	20.04.2011, 22:24	4
	93.188.164.36,93.188.160.106 - точно не ваши DNS? Узнайте у провайдера правильные. Сообщение от dbaik есть смысл сканировать, если не удалось обновиться как автоматически, так и по ссылке? Скачать удалось, а обновить не можете? Не ко всем антивирусным ресурсам есть доступ? Делайте без обновления. Сообщение от dbaik Известно, что за назначенные задания? Значит удалим. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Windows\tasks\{91178EF2-1C71-4FF6-A247-86F9E54BD77B}.job'); DeleteFile('C:\Windows\tasks\{7C68C7F6-8CCC-4117-8703-61C3F1E66A47}.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. компьютер перезагрузится лог avz повторите 1

@dbaik 0 / 0 / 0 Регистрация: 18.04.2011 Сообщений: 12
	20.04.2011, 22:35 [ТС]	5
	Сообщение от Katharsis 93.188.164.36,93.188.160.106 - точно не ваши DNS? Узнайте у провайдера правильные. мои 109.86.2.2, 109.86.2.21 Скачать удалось, а обновить не можете? Не ко всем антивирусным ресурсам есть доступ? Делайте без обновления. Значит удалим. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Windows\tasks\{91178EF2-1C71-4FF6-A247-86F9E54BD77B}.job'); DeleteFile('C:\Windows\tasks\{7C68C7F6-8CCC-4117-8703-61C3F1E66A47}.job'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. компьютер перезагрузится лог avz повторите сделал без обновления, логи в аттаче 0

@~~Katharsis~~ Заблокирован
	20.04.2011, 23:08	6
	большие цитаты вставлять не нужно. Сообщение от dbaik логи в аттаче не вижу DNS в настройках подключения замените на правильные: подключение - сеть - "протокол интернета версии4 tcp/ipv4" - кнопка "свойства" - вкладка "общие" - раздел "использоватьь следующие адреса DNS серверов". Впишите 109.86.2.2 как основной и 109.86.2.21 как альтернативный. 1

@dbaik 0 / 0 / 0 Регистрация: 18.04.2011 Сообщений: 12
	21.04.2011, 00:02 [ТС]	8
	Сообщение от Katharsis DNS в настройках подключения замените на правильные: заменил 0

@~~Katharsis~~ Заблокирован
	21.04.2011, 00:52	9
	в mbam удалите: Объекты реестра заражены: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{7D887B40-CBC8-48F5-B3F7-60F846D4573C}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\DhcpNameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken. Обновите базы и повторите лог. Теперь не должно вас перекидывать на левые сайты. 1

@~~Katharsis~~ Заблокирован
	21.04.2011, 12:26	11
	Доудалите в mbam (отметьте, нажмите кнопку "удалить"): Объекты реестра заражены: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces \{CC29D589-3B5F-401C-9018-87E2E410E810}\NameServer (Trojan.DNSChanger) -> Bad: (93.188.164.36,93.188.160.106) Good: () -> No action taken. Заражённые файлы: c:\Users\dbaik\doctorweb\quarantine\CW.exe (Hoax.ArchSMS) -> No action taken. лог mbam ещё раз повторите 1

@~~Katharsis~~ Заблокирован
	22.04.2011, 11:33	15
	Пароли от контакта и другие поменяйте ещё раз. Во избежание новых заражений желательно отключить автозапуск программ с различных носителей, кроме CDROM. (это по вашему желанию) Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] "NoDriveTypeAutoRun"=dword:000000dd Если больше никаких проблем не возникает, то: Создайте новую контрольную точку восстановления и очистите заражённую: 1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить 2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. Для предотвращения заражения рекомендуется: - не работать за компьютером с правами администратора - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript) - регулярно устанавливать обновления windows и обновлять антивирусные базы. - регулярно проверять систему антивирусными утилитами CureIT и AVPTool 0

@dbaik 0 / 0 / 0 Регистрация: 18.04.2011 Сообщений: 12
	22.04.2011, 11:45 [ТС]	16
	Сообщение от Katharsis - не работать за компьютером с правами администратора в win7, по умолчанию, ведь не с правами админа? 0

	22.04.2011, 11:46