Форум программистов, компьютерный форум CyberForum.ru
CyberForum.ru - форум программистов и сисадминов > > >
Восстановить пароль Регистрация
 
atasya
Новичок
0 / 0 / 0
Регистрация: 04.05.2013
Сообщений: 6
04.05.2013, 20:22     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #1
Добрый день.

При попытке зайти на сайт соц сети вконтакт выдается поле, в котором просят указать номер своего телефона, на который якобы будет отправлен код для входа. На другом компе никаких проблем не возникает, на сайт заходит.
Вложения
Тип файла: zip virusinfo_syscure.zip (25.2 Кб, 42 просмотров)
Тип файла: zip virusinfo_syscheck.zip (25.2 Кб, 7 просмотров)
Тип файла: rar info.rar (9.1 Кб, 21 просмотров)
Тип файла: rar log.rar (8.2 Кб, 10 просмотров)
AdAgent
Объявления
04.05.2013, 20:22     Подмена сайта вконтакт, просит указать номер телефона для отправки кода
shestale
Модератор
Вирусоборец
6624 / 2575 / 105
Регистрация: 22.02.2011
Сообщений: 7,919
04.05.2013, 20:38     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #2
Откройте блокнотом и покажите содержимое файла
C:\Windows\tasks\At1.job
atasya
Новичок
0 / 0 / 0
Регистрация: 04.05.2013
Сообщений: 6
04.05.2013, 20:40  [ТС]     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #3
 }Z*2ЖК{Cµ–К0е«F F <
s   *!Э    ) С  c m d . e x e З " / c a t t r i b - H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s & & c o p y C : \ U s e r s \ a t a s y a \ A p p D a t a \ L o c a l \ T e m p \ 6 0 5 5 8 8 5 4 a q C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s / Y & & a t t r i b + H C : \ W i n d o w s \ s y s t e m 3 2 \ d r i v e r s \ e t c \ h o s t s "  A8AB5<0  !>AB02;5=> N e t S c h e d u l e J o b A d d .   0 Э   )    5¬ow   ДлдXДY&°*VщФияЙЌххk№3ї’Qk<бҐUСtu -Lн0аh[RЃs±…”ѓ1›‡ЕHnъсe„З*p]”
shestale
Модератор
Вирусоборец
6624 / 2575 / 105
Регистрация: 22.02.2011
Сообщений: 7,919
04.05.2013, 20:47     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #4
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код Code
1
2
3
O1 - Hosts: 37.10.117.101 www.odnoklassniki.ru vk.com wap.odnoklassniki.ru m.odnoklassniki.ru m.vk.com odnoklassniki.ru my.mail.ru
O4 - HKCU\..\Run: [UpdateMonitor] C:\Users\atasya\AppData\Roaming\UpdateMonitor.exe
O4 - HKCU\..\Policies\Explorer\Run: [AppDataLow] C:\Users\atasya\AppData\Roaming\csrss.exe
2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
Код Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\atasya\AppData\Roaming\UpdateMonitor.exe','');
 QuarantineFile('C:\Users\atasya\AppData\Roaming\csrss.exe','');
 QuarantineFile('C:\Users\atasya\AppData\Local\Temp\60558854aq','');
 DeleteFile('C:\Users\atasya\AppData\Local\Temp\60558854aq');
 DeleteFile('C:\Windows\tasks\At1.job');
 DeleteFile('C:\Users\atasya\AppData\Roaming\csrss.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDataLow');
 DeleteFile('C:\Users\atasya\AppData\Roaming\UpdateMonitor.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UpdateMonitor');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
ExecuteRepair(13);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код Code
1
2
3
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Сделайте новые логи AVZ и Rsit.

6. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
atasya
Новичок
0 / 0 / 0
Регистрация: 04.05.2013
Сообщений: 6
04.05.2013, 23:35  [ТС]     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #5
Спасибо, все заработало!

Лог ниже:

Malwarebytes Anti-Malware (Пробная версия) 1.75.0.1300
www.malwarebytes.org

Версия базы данных: v2013.05.04.07

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
atasya :: R921-ATASYA [администратор]

Защитный модуль : Включен

04.05.2013 23:58:17
MBAM-log-2013-05-05 (01-33-54).txt

Тип сканирования: Полное сканирование (C:\|D:\|)
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 401628
Времени прошло: 1 часов , 30 минут , 24 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 1
HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 6
C:\Program Files (x86)\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Program Files (x86)\Total Commander Podarok Edition\Programm\EditPlus\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
C:\Program Files (x86)\Total Commander Podarok Edition\Programm\EVEREST Ultimate Edition\Keymaker - Ultimate.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Program Files (x86)\Total Commander Podarok Edition\Programm\Mpr\patch.exe (Trojan.Dropper) -> Действие не было предпринято.
D:\Distr\math\chp.exe (Risktool.CHP) -> Действие не было предпринято.
D:\Distr\math\Keymaker.exe (Malware.Gen) -> Действие не было предпринято.

(конец)
AdAgent
Объявления
04.05.2013, 23:35     Подмена сайта вконтакт, просит указать номер телефона для отправки кода
Sandor
Модератор
Вирусоборец
3656 / 2354 / 215
Регистрация: 08.10.2012
Сообщений: 7,887
04.05.2013, 23:49     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #6
В MBAM ничего удалять не нужно. Покажите еще

Цитата Сообщение от shestale Посмотреть сообщение
новые логи AVZ и Rsit
atasya
Новичок
0 / 0 / 0
Регистрация: 04.05.2013
Сообщений: 6
04.05.2013, 23:55  [ТС]     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #7
Отправляю
Вложения
Тип файла: rar info1.rar (9.1 Кб, 7 просмотров)
Тип файла: rar log.rar (8.2 Кб, 3 просмотров)
Тип файла: zip virusinfo_syscure.zip (24.3 Кб, 6 просмотров)
atasya
Новичок
0 / 0 / 0
Регистрация: 04.05.2013
Сообщений: 6
04.05.2013, 23:57  [ТС]     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #8
Последний лог
Вложения
Тип файла: zip virusinfo_syscheck1.zip (23.3 Кб, 2 просмотров)
Sandor
Модератор
Вирусоборец
3656 / 2354 / 215
Регистрация: 08.10.2012
Сообщений: 7,887
05.05.2013, 00:19     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #9
По логам чисто.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
05.05.2013, 17:56     Подмена сайта вконтакт, просит указать номер телефона для отправки кода
Еще ссылки по теме:

Подмена сайта "В контакте", просит указать номер телефона для отправки кода
Опять хапанул вирус,блокирует страницы,просит ввести номер телефона или отпр смс на номер 4016
Не работает Яндекс и Майл, просит номер телефона
atasya
Новичок
0 / 0 / 0
Регистрация: 04.05.2013
Сообщений: 6
05.05.2013, 17:56  [ТС]     Подмена сайта вконтакт, просит указать номер телефона для отправки кода   #10
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 05.05.2013 19:55:15
Program directory: C:\Users\atasya\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=4.0
Диск C:\ ФС: NTFS Емкость: (39 Гб) Занято: (32.7 Гб) Свободно: (6.3 Гб)
__________________________________________________

WIN_7(6.1) Build 7600 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 03.07.2011 17:15:00
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
Автоматическое обновление отключено (-1)
Дата установки обновлений: 2013-05-05 12:37:04
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
ESET NOD32 Antivirus 4.0
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
ESET NOD32 Antivirus 4.0
Windows Defender
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Reader 9.3 - Russian v.9.3.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.26.0.1410.64 [+]
Opera 12.15 v.12.15.1748
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------
Yandex
Объявления
05.05.2013, 17:56     Подмена сайта вконтакт, просит указать номер телефона для отправки кода
После регистрации реклама в сообщениях будет скрыта и будут доступны все возможности форума.
Опции темы

Текущее время: 06:10. Часовой пояс GMT +4.
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.7 PL3
Copyright ©2000 - 2014, vBulletin Solutions, Inc.
Яндекс.Метрика