Вирус социальных сетей (ВК, одноклассники)

@warmzy99 · Регистрация: 03.03.2014

Студворк — интернет-сервис помощи студентам

Блокируется вход именно с моего ПК в соц.сети одноклассники и ВКонтакте. С мобильных устройств вход выполняется на ура.

Одноклассники

Code
1
2
Из-за подозрительной активности в вашем профиле мы заблокировали его. Для восстановления укажите номер вашего телефона.
мы отправим вам SMS-сообщение со специальным кодом.

Вконтакте

Code
1
2
3
Вы пытаетесь зайти под именем *** *** из необычного места.
 
Чтобы подтвердить, что Вы действительно являетесь владельцем страницы, пожалуйста, укажите все недостающие цифры номера телефона, к которому привязана страница.

ps: у меня хр

@Sandor · 03.03.2014, 10:28

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ____

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Documents and Settings\warmzy99\Application Data\Agent\minerd.exe','');
 QuarantineFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\WINDOWS\TEMP\0.del','');
 DeleteFile('C:\WINDOWS\TEMP\0.del','32');
 DeleteFile('C:\DOCUME~1\NETWOR~1\APPLIC~1\Funmoods\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\At3.job','32');
 DeleteFile('C:\Documents and Settings\warmzy99\Application Data\Agent\minerd.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\FLASHUPDATE.job','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del499593');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del14672546');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del499593');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','Del14672546');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(13);
 ExecuteRepair(21);
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.

Компьютер перезагрузится.

2. После перезагрузки выполните такой скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3. Очистите кэш DNS: в командной строке, запущенной от имени администратора, выполните

ipconfig /flushdns

Почистите браузеры с помощью AVZ

Меню Файл - Мастер поиска и устранения проблем - Категория - Чистка системы, Степень опасности - Все проблемы. Нажмите Пуск.
В результатах отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

4. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Добавлено через 5 минут
5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему сообщению. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

@warmzy99 · 03.03.2014, 15:35 **[ТС]**

Сделал всё по пунктам, спасибо за подробное руководство. В соц. сети доступ открыт

Вот лог после п.4
и лог после п.5

@Sandor · 03.03.2014, 15:46

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:

Обнаруженные ключи в реестре: 4
HKCU\SOFTWARE\Funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\InstallCore\funmoods (PUP.FunMoods) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\InstallCore\funmoods (PUP.Optional.FunMoods.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 1P1O1N1R1G1M1J -> Действие не было предпринято.
HKLM\SOFTWARE\Mozilla\Firefox\extensions |{336D0C35-8A85-403a-B9D2-65C292C39087} (PUP.Optional.Incredibar) -> Параметры: C:\Program Files\Web Assistant\Firefox -> Действие не было предпринято.
Обнаруженные папки: 1
C:\Documents and Settings\NetworkService\Application Data\Funmoods\UpdateProc (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\NetworkService\Application Data\Funmoods\UpdateProc\config.dat (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Application Data\Funmoods\UpdateProc\info.dat (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Application Data\Funmoods\UpdateProc\STTL.DAT (PUP.Optional.FunMoods.A) -> Действие не было предпринято.
C:\Documents and Settings\NetworkService\Application Data\Funmoods\UpdateProc\TTL.DAT (PUP.Optional.FunMoods.A) -> Действие не было предпринято.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@warmzy99 · 03.03.2014, 16:10 **[ТС]**

Еще не закрыл, ждал ответа. Получается к удалению 11 объектов? Те трояны, которые нашлись на диске D: в папке System Volume Information не удалять?

@Sandor · 03.03.2014, 16:22

Нет, это в контрольных точках. Их очистка будет позже.

@warmzy99 · 03.03.2014, 16:40 **[ТС]**

Понятно. Удалил указанные объекты + сделал првоерку AdwCleaner-ом, вот лог

@Sandor · 03.03.2014, 16:55

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan".

По окончанию сканирования снимите галочки со следующих строк:

Code
1
2
3
4
5
6
7
8
9
10
11
***** [ Files / Folders ] *****
Folder Found C:\Documents and Settings\All Users\Application Data\AVG SafeGuard toolbar
Folder Found C:\Documents and Settings\All Users\Application Data\AVG Secure Search
Folder Found C:\Documents and Settings\warmzy99\Application Data\AVG SafeGuard toolbar
Folder Found C:\Documents and Settings\warmzy99\Local Settings\Application Data\AVG SafeGuard toolbar
Folder Found C:\Documents and Settings\warmzy99\Local Settings\Application Data\Mail.Ru
***** [ Registry ] *****
Key Found : HKCU\Software\AVG SafeGuard toolbar
Key Found : HKLM\Software\AVG SafeGuard toolbar
Key Found : HKLM\Software\AVG Security Toolbar
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG SafeGuard toolbar

Нажмите кнопку "Clean" и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

@warmzy99 · 03.03.2014, 17:11 **[ТС]**

Готово.

@Sandor · 03.03.2014, 17:23

Зацепили некоторые фрагменты тулбаров AVG и Mail.ru
Если они вам нужны, переустановите.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@warmzy99 · 03.03.2014, 17:36 **[ТС]**

Security Check by glax24 version 0.2.4.60 rc1
WebSite: www.safezone.cc
DateLog: 03.03.2014 20:35:59
Run directory: C:\Documents and Settings\warmzy99\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.0
________________________________________ __________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 07.01.2011 10:35:42
Системный диск: C:\ ФС: NTFS Емкость: [62.5 Гб] Занято: [35.8 Гб] Свободно: [26.7 Гб]
Браузер по умолчанию: C:\Program Files\Microsoft Office\Office12\msohtmed.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
avast! antivirus 4.8.1368 [VPS 120331-1]
Антивирус устарел
Сканирование отключено
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
avast! Antivirus v.4.8
AVG SafeGuard toolbar v.18.0.0.248
-------------OtherUtilities-----------------------
CCleaner v.4.11
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^
-------------AppleProduction----------------------
QuickTime v.7.65.17.80 Внимание! Скачать обновления
-------------AdobeProduction----------------------
Adobe Flash Player 12 Plugin v.12.0.0.70
Adobe Reader X (10.1.3) - Russian v.10.1.3 Внимание! Скачать обновления
-------------Browser------------------------------
Opera Stable 19.0.1326.63 v.19.0.1326.63
Google Chrome v.33.0.1750.117
-------------RunningProcess-----------------------
C:\Program Files\Opera\19.0.1326.63\opera.exe v.19.0.1326.63
-------------EndLog-------------------------------

Добавлено через 1 минуту
Спасибо за помощь! Немедленно займусь установкой необходимых программ!

@Sandor · 03.03.2014, 17:41

Прочтите рекомендации.
Удачи!

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@warmzy99 0 / 0 / 0 Регистрация: 03.03.2014 Сообщений: 19
	03.03.2014, 16:10 [ТС]
	Еще не закрыл, ждал ответа. Получается к удалению 11 объектов? Те трояны, которые нашлись на диске D: в папке System Volume Information не удалять? 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,802
	03.03.2014, 16:22
	Нет, это в контрольных точках. Их очистка будет позже. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,802
	03.03.2014, 17:23
	Зацепили некоторые фрагменты тулбаров AVG и Mail.ru Если они вам нужны, переустановите. Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. Рекомендации после удаления вредоносного ПО 1

@warmzy99 0 / 0 / 0 Регистрация: 03.03.2014 Сообщений: 19
	03.03.2014, 17:36 [ТС]
	Security Check by glax24 version 0.2.4.60 rc1 WebSite: www.safezone.cc DateLog: 03.03.2014 20:35:59 Run directory: C:\Documents and Settings\warmzy99\Local Settings\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: True FileVersionInet: 7.0 ________________________________________ __________ Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419) Дата установки ОС: 07.01.2011 10:35:42 Системный диск: C:\ ФС: NTFS Емкость: [62.5 Гб] Занято: [35.8 Гб] Свободно: [26.7 Гб] Браузер по умолчанию: C:\Program Files\Microsoft Office\Office12\msohtmed.exe -------------Windows------------------------------ Internet Explorer 8.0.6001.18702 Автоматическое обновление отключено Автоматическое обновление (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба остановлена -------------Antivirus_WMI------------------------ avast! antivirus 4.8.1368 [VPS 120331-1] Антивирус устарел Сканирование отключено -------------Firewall_WMI------------------------- -------------AntiVirusFirewallInstall------------- avast! Antivirus v.4.8 AVG SafeGuard toolbar v.18.0.0.248 -------------OtherUtilities----------------------- CCleaner v.4.11 Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300 -------------Java--------------------------------- Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-7u51-windows-i586.exe)^ -------------AppleProduction---------------------- QuickTime v.7.65.17.80 Внимание! Скачать обновления -------------AdobeProduction---------------------- Adobe Flash Player 12 Plugin v.12.0.0.70 Adobe Reader X (10.1.3) - Russian v.10.1.3 Внимание! Скачать обновления -------------Browser------------------------------ Opera Stable 19.0.1326.63 v.19.0.1326.63 Google Chrome v.33.0.1750.117 -------------RunningProcess----------------------- C:\Program Files\Opera\19.0.1326.63\opera.exe v.19.0.1326.63 -------------EndLog------------------------------- Добавлено через 1 минуту Спасибо за помощь! Немедленно займусь установкой необходимых программ! 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,802
	03.03.2014, 17:41
	Прочтите рекомендации. Удачи! 1