Вирус просит ввести на сайтах номер телефона и подтвердить его кодом из смс

@rusiga · Регистрация: 08.01.2013

Author24 — интернет-сервис помощи студентам

Здравствуйте. Не получается зайти на сайты с браузера Опера vk.com, mail.ru и т.д. просит ввести номер телефона, а затем подтвердить по смс (что то похожее на флеш анимацию). Буду очень признателен за помощь.

@rusiga · 12.01.2013, 16:38 **[ТС]**

не получается просканировать. На протяжении суток окно scanning for infected files... после чего зависает, аналогично в безопасном режиме (скрин с форума). Что еще можно попробовать? Спасибо.

@~~Katharsis~~ · 12.01.2013, 16:46

попробуйте скачать CF заново, возможно файл оказался битым. так же вариант с переименованием пробовали?

и после даже такого запуска изменения какие то появились?

@rusiga · 12.01.2013, 16:55 **[ТС]**

Скачал с трех разных ссылок. Переименовывать правда не пробывал, т.к. он запускается нормально, доходит до вот этой стадии, мигает курсор какое то время и "зависает". Проблема осталась та же. Конечно после установки KAV от яндекса все эти сторонние окна блокируются, но чувство опасности и чувство того, что какое существо находится в системе очень приятно

@~~Katharsis~~ · 12.01.2013, 17:03

KAV при запуске СF не забываете выгружать?

@rusiga · 12.01.2013, 17:10 **[ТС]**

в обычном режиме выгружаю все приложения и антивирус, как написано во всех инструкциях. В безопасном режиме KAV и приложения не запускаются изначально.

@~~Katharsis~~ · 12.01.2013, 17:37

трудно сказать, почему он у вас не работает, никаких особых причин для этого нет

скачайте любой портабельный браузер, например опера. проверьте, будет ли проявляться проблема там

@rusiga · 12.01.2013, 17:56 **[ТС]**

окно с просьбой ввести номер телефона появляется в всех браузерах, кроме IE 9. Просто первым делом я заметил это в опере.
1 в портейбл версии - все нормально.
2 в firefox так же есть функция запуска в безопасном режиме (когда все дополнения, расширения, плагины отключаются), когда запускаешь firefox в таком режиме - тоже все нормально.
3 в chome тоже просит номер телефона и подтверждение на любом сайте. Но если зайти в настройки- расширения, то видим неизвестное расширение, отключаем и удаляем его. и все работает, никаких тебе руганий KAV, никаких окон с просьбой ввести номер телефона. Стоит перезапустить Chome и снова это расширение присутствует (как будто и не удаляли, или оно(расширение) при запуске браузера само быстро устанвливается в фоновом режиме)
Исходя из этих наблюдений сложилось впечатление, что есть какой то плагин или расшиние, которое и запускает у меня на компьютере в браузерах эти самые окна с просьбой ввести номер телефона, а затем его подтвердить, что бы якобы войти на сайт. Хотя смысл злоумышленников тем самым подписать меня на какие то сторонние услуги( которые как окаызвается стоят по 10-20руб день с мобильного). Вот.

@shestale · 12.01.2013, 18:04

В свойствах ярлыков браузеров, в поле "Объект" ни каких приписок нет?

@~~Katharsis~~ · 12.01.2013, 18:07

Возможно, в логах это не отображается. найдите методом исключения проблемную надстройку и удалите. в случае невозможности обнаружения, как крайняя мера - возможно поможет переустановка браузеров с предварительной полной зачисткой их следов. закладки можно временно экспортировать - ничего не потеряете.

пробуйте, потом сообщите результат

@rusiga · 12.01.2013, 20:22 **[ТС]**

как я сразу не заметил. C:\Users\Odmin\AppData\Roaming\Informer\Chrome там был файл джаваскрипт (user.js или как то так... открыл его, ужаснулся.. там были прописаны пути к сайтам.. и различные iframe) он при запуске браузера и выдавал окно с просьбой ввода номера телефона. С испуга быстрее удалил его, даже забыл скопировать, что бы выложить здесь. В опере и хроме, проблема исчезла. Но в файерфоксе такого файла не нашел, т.е. проблем с файерфокс осталась. Решил ее полным удаление и установкой заново.
Гигантское спасибо, друзья, что все это время не оставляли меня, давали советы.
Разрешите сделать на последок вновь те же самые логи, что и впервый раз(при создании темы) и прошу еще раз проверить все ли у меня впорядке. Мания преследования меня никак не оставляет. Проверите?

Добавлено через 1 минуту

Сообщение от shestale

В свойствах ярлыков браузеров, в поле "Объект" ни каких приписок нет?

кстати, приписок не было.

@~~Katharsis~~ · 12.01.2013, 20:41

Сообщение от rusiga

Разрешите сделать на последок вновь те же самые логи

сделайте

но сначала Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

и OTL нажатием кнопки CleanUp

@rusiga · 12.01.2013, 21:49 **[ТС]**

Спасибо. Надеюсь все будет чисто.

@~~Katharsis~~ · 12.01.2013, 22:00

все чисто

Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@rusiga · 12.01.2013, 22:25 **[ТС]**

Security Check by glax24 version 0.1.6.51 rc1
WebSite: www.safezone.cc
DataLog 13.01.2013 00:24:35
Program directory: C:\Users\Odmin\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=2.1
Диск C:\ ФС: NTFS Емкость: (97.7 Гб) Занято: (48 Гб) Свободно: (49.7 Гб)
__________________________________________________

WIN_7(6.1) Build 7600 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 28.12.2009 09:45:39
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено
Дата установки обновлений: 2011-05-11 17:55:37
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Anti-Virus
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Kaspersky Anti-Virus
Windows Defender
-------------AntiVirusFirewallInstall-------------
Антивирус Касперского 2011 Яндекс-версия v.11.0.2.556
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java 2 Runtime Environment Standard Edition v1.2.2
Java 7 Update 10 v.7.0.100
-------------AppleProduction----------------------
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.5.502.146
Adobe Reader 9.4.2 - Russian v.9.4.2 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.24.0.1312.52
Mozilla Firefox 18.0 (x86 ru) v.18.0
Opera 12.12 v.12.12.1707
-------------EmailClient--------------------------
Mozilla Thunderbird (3.0) v.3.0 (ru) Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files\Opera\opera.exe v.12.12.1707.0
C:\Program Files\Internet Explorer\iexplore.exe v.9.0.8112.16421
-------------EndLog-------------------------------

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	12.01.2013, 16:55 [ТС]	23
	Скачал с трех разных ссылок. Переименовывать правда не пробывал, т.к. он запускается нормально, доходит до вот этой стадии, мигает курсор какое то время и "зависает". Проблема осталась та же. Конечно после установки KAV от яндекса все эти сторонние окна блокируются, но чувство опасности и чувство того, что какое существо находится в системе очень приятно 0

@~~Katharsis~~ Заблокирован
	12.01.2013, 17:37	26
	трудно сказать, почему он у вас не работает, никаких особых причин для этого нет скачайте любой портабельный браузер, например опера. проверьте, будет ли проявляться проблема там 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	12.01.2013, 17:56 [ТС]	27
	окно с просьбой ввести номер телефона появляется в всех браузерах, кроме IE 9. Просто первым делом я заметил это в опере. 1 в портейбл версии - все нормально. 2 в firefox так же есть функция запуска в безопасном режиме (когда все дополнения, расширения, плагины отключаются), когда запускаешь firefox в таком режиме - тоже все нормально. 3 в chome тоже просит номер телефона и подтверждение на любом сайте. Но если зайти в настройки- расширения, то видим неизвестное расширение, отключаем и удаляем его. и все работает, никаких тебе руганий KAV, никаких окон с просьбой ввести номер телефона. Стоит перезапустить Chome и снова это расширение присутствует (как будто и не удаляли, или оно(расширение) при запуске браузера само быстро устанвливается в фоновом режиме) Исходя из этих наблюдений сложилось впечатление, что есть какой то плагин или расшиние, которое и запускает у меня на компьютере в браузерах эти самые окна с просьбой ввести номер телефона, а затем его подтвердить, что бы якобы войти на сайт. Хотя смысл злоумышленников тем самым подписать меня на какие то сторонние услуги( которые как окаызвается стоят по 10-20руб день с мобильного). Вот. Миниатюры 0

@~~Katharsis~~ Заблокирован
	12.01.2013, 18:07	29
	Возможно, в логах это не отображается. найдите методом исключения проблемную надстройку и удалите. в случае невозможности обнаружения, как крайняя мера - возможно поможет переустановка браузеров с предварительной полной зачисткой их следов. закладки можно временно экспортировать - ничего не потеряете. пробуйте, потом сообщите результат 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	12.01.2013, 20:22 [ТС]	30
	как я сразу не заметил. C:\Users\Odmin\AppData\Roaming\Informer\Chrome там был файл джаваскрипт (user.js или как то так... открыл его, ужаснулся.. там были прописаны пути к сайтам.. и различные iframe) он при запуске браузера и выдавал окно с просьбой ввода номера телефона. С испуга быстрее удалил его, даже забыл скопировать, что бы выложить здесь. В опере и хроме, проблема исчезла. Но в файерфоксе такого файла не нашел, т.е. проблем с файерфокс осталась. Решил ее полным удаление и установкой заново. Гигантское спасибо, друзья, что все это время не оставляли меня, давали советы. Разрешите сделать на последок вновь те же самые логи, что и впервый раз(при создании темы) и прошу еще раз проверить все ли у меня впорядке. Мания преследования меня никак не оставляет. Проверите? Добавлено через 1 минуту Сообщение от shestale В свойствах ярлыков браузеров, в поле "Объект" ни каких приписок нет? кстати, приписок не было. 0

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	12.01.2013, 16:38 [ТС]	21
	не получается просканировать. На протяжении суток окно scanning for infected files... после чего зависает, аналогично в безопасном режиме (скрин с форума). Что еще можно попробовать? Спасибо. Миниатюры 0

@~~Katharsis~~ Заблокирован
	12.01.2013, 16:46	22
	попробуйте скачать CF заново, возможно файл оказался битым. так же вариант с переименованием пробовали? и после даже такого запуска изменения какие то появились? 1

@~~Katharsis~~ Заблокирован
	12.01.2013, 17:03	24
	KAV при запуске СF не забываете выгружать? 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	12.01.2013, 17:10 [ТС]	25
	в обычном режиме выгружаю все приложения и антивирус, как написано во всех инструкциях. В безопасном режиме KAV и приложения не запускаются изначально. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	12.01.2013, 18:04	28
	В свойствах ярлыков браузеров, в поле "Объект" ни каких приписок нет? 1

@~~Katharsis~~ Заблокирован
	12.01.2013, 20:41	31
	Сообщение от rusiga Разрешите сделать на последок вновь те же самые логи сделайте но сначала Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up и OTL нажатием кнопки CleanUp 1

@~~Katharsis~~ Заблокирован
	12.01.2013, 22:00	33
	все чисто Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 1

@rusiga 0 / 0 / 0 Регистрация: 08.01.2013 Сообщений: 17
	12.01.2013, 22:25 [ТС]	34
	Security Check by glax24 version 0.1.6.51 rc1 WebSite: www.safezone.cc DataLog 13.01.2013 00:24:35 Program directory: C:\Users\Odmin\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True XML File - VersionInet=2.1 Диск C:\ ФС: NTFS Емкость: (97.7 Гб) Занято: (48 Гб) Свободно: (49.7 Гб) __________________________________________________ WIN_7(6.1) Build 7600 (x86) Ultimate Lang: Russian(0419) Дата установки ОС: 28.12.2009 09:45:39 Service Pack не установлен Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Internet Explorer 9.0.8112.16421 -------------Windows------------------------------ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен Автоматическое обновление отключено Дата установки обновлений: 2011-05-11 17:55:37 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Kaspersky Anti-Virus Антивирус обновлен -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Kaspersky Anti-Virus Windows Defender -------------AntiVirusFirewallInstall------------- Антивирус Касперского 2011 Яндекс-версия v.11.0.2.556 -------------OtherUtilities----------------------- Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100 -------------Java--------------------------------- Java 2 Runtime Environment Standard Edition v1.2.2 Java 7 Update 10 v.7.0.100 -------------AppleProduction---------------------- Служба Bonjour (Bonjour Service) - Служба работает -------------AdobeProduction---------------------- Adobe Flash Player 10 ActiveX v.10.0.42.34 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.5.502.146 Adobe Reader 9.4.2 - Russian v.9.4.2 Внимание! Скачать обновления -------------Browser------------------------------ Google Chrome v.24.0.1312.52 Mozilla Firefox 18.0 (x86 ru) v.18.0 Opera 12.12 v.12.12.1707 -------------EmailClient-------------------------- Mozilla Thunderbird (3.0) v.3.0 (ru) Внимание! Скачать обновления -------------RunningProcess----------------------- C:\Program Files\Opera\opera.exe v.12.12.1707.0 C:\Program Files\Internet Explorer\iexplore.exe v.9.0.8112.16421 -------------EndLog------------------------------- 0