Вирус в соц сетях и поисковиках

@rubis · Регистрация: 17.01.2013

Author24 — интернет-сервис помощи студентам

В одноклассниках пишет, что неправильно введен логин или пароль. В контакте, что страница заморожена. В яндексе и мейле - требует номер телефона.

@rubis · 21.05.2013, 11:21 **[ТС]**

В яндекс почту по ссылке получилось войти, а вот в поисковике пишет что-то типа "Ой, Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.

Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить»

@Sandor · 21.05.2013, 11:24

Сделайте дополнительно такой лог:

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS

@rubis · 21.05.2013, 12:02 **[ТС]**

Вот, что получилось.

@Sandor · 21.05.2013, 12:16

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:

Код

;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

breg
; C:\PROGRAMDATA\MOZILLA\TLWMHGE.DLL
addsgn A7659219B962CF0F07D5DBB48C8DEDFADA4344F789FA1FBA89C39035B5559D54E413E7573E559DB63E7C449E56468EBE59DBE87255DA77280977A42FC7F9378B 64 C:\PROGRAMDATA\MOZILLA

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\TLWMHGE.DLL
; C:\PROGRAMDATA\MOZILLA\WPNIWNF.EXE
addsgn A76592C9D486E8720BD469341C37EDFA258AFCF661D1E0877A4605C92D5BF438DCE83C907A7195092B8084160232454243FFA8727806A56C2DB0A00B1B136273 8 C:\PROGRAMDATA\MOZILLA

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\WPNIWNF.EXE
bl EABFDC0F1FC0CCF3289F8B77176D321B 19456
delall %SystemDrive%\PROGRAMDATA\MOZILLA\TLWMHGE.DLL
bl 9B19EA9ACBCA806DCFCA872DA80410F1 139800
delall %SystemDrive%\PROGRAMDATA\MOZILLA\WPNIWNF.EXE
chklst
delvir
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@rubis · 21.05.2013, 14:58 **[ТС]**

На почту отослала, остальное присоединяю

@Sandor · 21.05.2013, 15:11

Если MBAM уже закрыли, повторите сканирование и удалите только:

C:\ProgramData\Mozilla\wpniwnf.exeoowgdaa.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\ProgramData\Mozilla\wpniwnf.exesmcscaa.tmp (Trojan.Agent) -> Действие не было предпринято.

Эти файлы если вам не знакомы, можно тоже удалить:

C:\Users\svyaznoy\Downloads\holodilnik_snaige-117-2_s_opisanie.zip (Trojan.StartPage.ooo) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_programmyi_dlya_android_4 .0(1).exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_programmyi_dlya_android_4 .0.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0(1).exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0.exe (Trojan.Agent) -> Действие не было предпринято.

После удаления сделайте повторное сканирование MBAM и uVS.

Добавлено через 2 минуты
Что сейчас с проблемой?

@rubis · 21.05.2013, 16:14 **[ТС]**

Ура!!! Все заработало. )

@Sandor · 21.05.2013, 16:17

Сообщение от Sando_r

После удаления сделайте повторное сканирование MBAM и uVS.

эти логи нужно сделать, т.к. может скрываться.

@rubis · 21.05.2013, 16:18 **[ТС]**

Сейчас как раз делаю. Их выложить сюда?

@Sandor · 21.05.2013, 16:20

Да.

@rubis · 21.05.2013, 17:12 **[ТС]**

Все сделала.

@rubis · 21.05.2013, 17:16 **[ТС]**

C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_progr ammyi_dlya_android_4.0(1).exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_progr ammyi_dlya_android_4.0.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0(1).e xe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0.exe (Trojan.Agent) -> Действие не было предпринято.

Добавлено через 1 минуту
вот это точно я вчера цапанула. Прямо перед глазами стоит, как произошло. Лохонулась (((

@Sandor · 21.05.2013, 17:25

Чисто.

Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@rubis · 21.05.2013, 17:32 **[ТС]**

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 21.05.2013 17:29:18
Program directory: C:\Users\svyaznoy\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=4.1
Диск C:\ ФС: NTFS Емкость: (447.7 Гб) Занято: (82.3 Гб) Свободно: (365.4 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) HomeBasic Lang: Russian(0419)
Дата установки ОС: 29.08.2012 17:37:14
Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.10.9200.16576 [+]
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-16 09:29:27
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------AntiVirusFirewallInstall-------------
McAfee Security Scan Plus v.3.0.207.4
-------------OtherUtilities-----------------------
CCleaner v.3.02
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX 64-bit v.11.0.1.152 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления
Adobe Reader X (10.1.5) MUI v.10.1.5 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 21.0 (x86 ru) v.21.0
-------------RunningProcess-----------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.21.0.0.4879
-------------EndLog-------------------------------

@Sandor · 21.05.2013, 17:35

Обновите Адоб по ссылкам. Удачи!

@rubis · 21.05.2013, 17:36 **[ТС]**

Спасибо Вам большое от меня, дочки и компа ))) Вы нас спасли )

@rubis 0 / 0 / 0 Регистрация: 17.01.2013 Сообщений: 32
	21.05.2013, 11:21 [ТС]	2
	В яндекс почту по ссылке получилось войти, а вот в поисковике пишет что-то типа "Ой, Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску. Чтобы продолжить поиск, пожалуйста, введите свой номер телефона в поле ввода и нажмите «Отправить» 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 11:24	3
	Сделайте дополнительно такой лог: Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 12:16	5
	Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена: Код ;uVS v3.77.10 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 breg ; C:\PROGRAMDATA\MOZILLA\TLWMHGE.DLL addsgn A7659219B962CF0F07D5DBB48C8DEDFADA4344F789FA1FBA89C39035B5559D54E413E7573E559DB63E7C449E56468EBE59DBE87255DA77280977A42FC7F9378B 64 C:\PROGRAMDATA\MOZILLA zoo %SystemDrive%\PROGRAMDATA\MOZILLA\TLWMHGE.DLL ; C:\PROGRAMDATA\MOZILLA\WPNIWNF.EXE addsgn A76592C9D486E8720BD469341C37EDFA258AFCF661D1E0877A4605C92D5BF438DCE83C907A7195092B8084160232454243FFA8727806A56C2DB0A00B1B136273 8 C:\PROGRAMDATA\MOZILLA zoo %SystemDrive%\PROGRAMDATA\MOZILLA\WPNIWNF.EXE bl EABFDC0F1FC0CCF3289F8B77176D321B 19456 delall %SystemDrive%\PROGRAMDATA\MOZILLA\TLWMHGE.DLL bl 9B19EA9ACBCA806DCFCA872DA80410F1 139800 delall %SystemDrive%\PROGRAMDATA\MOZILLA\WPNIWNF.EXE chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 15:11	7
	Если MBAM уже закрыли, повторите сканирование и удалите только: C:\ProgramData\Mozilla\wpniwnf.exeoowgdaa.tmp (Trojan.Agent) -> Действие не было предпринято. C:\ProgramData\Mozilla\wpniwnf.exesmcscaa.tmp (Trojan.Agent) -> Действие не было предпринято. Эти файлы если вам не знакомы, можно тоже удалить: C:\Users\svyaznoy\Downloads\holodilnik_snaige-117-2_s_opisanie.zip (Trojan.StartPage.ooo) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_programmyi_dlya_android_4 .0(1).exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_programmyi_dlya_android_4 .0.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0(1).exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0.exe (Trojan.Agent) -> Действие не было предпринято. После удаления сделайте повторное сканирование MBAM и uVS. Добавлено через 2 минуты Что сейчас с проблемой? 0

@rubis 0 / 0 / 0 Регистрация: 17.01.2013 Сообщений: 32
	21.05.2013, 16:14 [ТС]	8
	Ура!!! Все заработало. ) 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 16:17	9
	Сообщение от Sando_r После удаления сделайте повторное сканирование MBAM и uVS. эти логи нужно сделать, т.к. может скрываться. 0

@rubis 0 / 0 / 0 Регистрация: 17.01.2013 Сообщений: 32
	21.05.2013, 16:18 [ТС]	10
	Сейчас как раз делаю. Их выложить сюда? 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 16:20	11
	Да. 0

@rubis 0 / 0 / 0 Регистрация: 17.01.2013 Сообщений: 32
	21.05.2013, 17:16 [ТС]	13
	C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_progr ammyi_dlya_android_4.0(1).exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\interesnyie_i_neobyichnyie_progr ammyi_dlya_android_4.0.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0(1).e xe (Trojan.Agent) -> Действие не было предпринято. C:\Users\svyaznoy\Downloads\programmyi_dlya_android_4.0.exe (Trojan.Agent) -> Действие не было предпринято. Добавлено через 1 минуту вот это точно я вчера цапанула. Прямо перед глазами стоит, как произошло. Лохонулась ((( 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 17:25	14
	Чисто. Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0

	21.05.2013, 17:36

@rubis 0 / 0 / 0 Регистрация: 17.01.2013 Сообщений: 32
	21.05.2013, 17:32 [ТС]	15
	Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 21.05.2013 17:29:18 Program directory: C:\Users\svyaznoy\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False XML File - VersionInet=4.1 Диск C:\ ФС: NTFS Емкость: (447.7 Гб) Занято: (82.3 Гб) Свободно: (365.4 Гб) __________________________________________________ WIN_7(6.1) Build 7601 (x64) HomeBasic Lang: Russian(0419) Дата установки ОС: 29.08.2012 17:37:14 Статус лицензии: Windows(R) 7, HomeBasic edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 9.10.9200.16576 [+] -------------Windows------------------------------ Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2013-05-16 09:29:27 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ -------------Firewall_WMI------------------------- -------------AntiSpyware_WMI---------------------- Windows Defender -------------AntiVirusFirewallInstall------------- McAfee Security Scan Plus v.3.0.207.4 -------------OtherUtilities----------------------- CCleaner v.3.02 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX 64-bit v.11.0.1.152 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.4.402.287 Внимание! Скачать обновления Adobe Reader X (10.1.5) MUI v.10.1.5 Внимание! Скачать обновления -------------Browser------------------------------ Mozilla Firefox 21.0 (x86 ru) v.21.0 -------------RunningProcess----------------------- C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.21.0.0.4879 -------------EndLog------------------------------- 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	21.05.2013, 17:35	16
	Обновите Адоб по ссылкам. Удачи! 0

@rubis 0 / 0 / 0 Регистрация: 17.01.2013 Сообщений: 32
	21.05.2013, 17:36 [ТС]	17
	Спасибо Вам большое от меня, дочки и компа ))) Вы нас спасли ) 0