Вирус не дает зайти на одноклассники

@-sway- · Регистрация: 09.04.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Поймали на ноуте вирус, при входе на Одноклассники вчера выдавал сообщение типа "аккаунт заблокирован, введите номер своего телефона, вам прийдет сообщение, в ответном сообщении введите такой-то код". Номер вбивал, код не приходил. При попытке нажать на Одноклассниках "Забыли пароль или логин?" ничего не происходит. Сегодня до сообщения о блокировке не доходит дело, пишет просто неправильный логин\пароль.

Скачал AVZ, ничего не выявил, поставил триальный КИС 2013, нашел пару троянов Trojan.Win32.Cidox.wmh, Trojan-Spy.Win32.Carberp.dgm и зараженные файлы (отчет прилагается).

Файл хостс чистый, CureIt не устанавливается (процесс запускается и закрывается). Помогите выкорчевать заразу

@shestale · 09.04.2013, 19:40

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему - в полном объеме.

@-sway- · 09.04.2013, 21:51 **[ТС]**

Извиняюсь за отсутствовавшие логи. Прилагаю согласно инструкциям.

@thyrex · 09.04.2013, 22:46

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ _______________

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\Пользователь\appdata\roaming\poclbm\poclbm.exe');
QuarantineFile('C:\Windows\system32\rpcss.dll','');
 QuarantineFile('c:\users\Пользователь\appdata\roaming\poclbm\poclbm.exe','');
 DeleteFile('c:\users\Пользователь\appdata\roaming\poclbm\poclbm.exe');
 DeleteFile('C:\Users\Пользователь\AppData\Roaming\poclbm\t2.vbs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13); 
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи этой формы

Сделайте новые логи

@-sway- · 09.04.2013, 23:47 **[ТС]**

Карантин отправил.
CureIt как оказалось я скачал не тот (с сайта freedrweb.com)
Скачанный с фтп запускается.

@Katharsis · 10.04.2013, 07:16

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@-sway- · 10.04.2013, 08:42 **[ТС]**

лог мбам

@Katharsis · 10.04.2013, 13:57

удалите этот файл

Обнаруженные файлы: 2
C:\Users\123\AppData\Local\Temp\CF06674C-EDA6-48df-B12C-F810984ACF54.exe (Trojan.KillFiles) -> Действие не было предпринято.

потом откройте блокнотом C:\Windows\tasks\At1.job и скопируйте сюда текст

@-sway- · 10.04.2013, 14:18 **[ТС]**

Удалил.
При попытке открыть в блокноте At1.job выдает "Отказано в доступе".
Посмотрел в планировщике заданий, там у этого AT1 вот что:

Запуск программы cmd.exe /c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\73B5~1\AppData\Local\Temp\54277 73aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts

Выполнение Ежедневно все дни недели в 21:19. XML задания приложил (также приложил второе подозрительное задание).

Кстати, CureIt обнаружил вот что: еще вчера вечером:

Файл хостс я ему разрешил вылечить. Остальное не трогал

@Katharsis · 10.04.2013, 14:21

удалите At1.job

Сообщение от -sway-

Кстати, CureIt обнаружил вот что

достаточно почистить временные папки

меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:

очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке

проверьте результат

@-sway- · 10.04.2013, 18:11 **[ТС]**

Все очистил как написали, потом в безопасном режиме прогнал полную проверку CureIt, нашлась еще парочка зараженных страниц в тэмпах. Тоже удалил.
В одноклассниках ссылки на восстановление пароля заработали, уже поменял на более сложный.
Спасибо большое за помощь!

@Katharsis · 10.04.2013, 18:20

Рекомендации после удаления вредоносного ПО

для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

@-sway- · 10.04.2013, 19:12 **[ТС]**

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 10.04.2013 19:11:46
Program directory: C:\Users\Пользователь\AppData\Local\Temp \SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionLocal=3.8
Диск C:\ ФС: NTFS Емкость: (343 Гб) Занято: (63 Гб) Свободно: (280 Гб)
________________________________________ __________

WIN_7(6.1) Build 7601 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 21.10.2011 05:20:20
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2012-05-07 07:27:39
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiSpyware_WMI----------------------
Kaspersky Internet Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2013 v.13.0.1.4190
-------------OtherUtilities-----------------------
CCleaner v.2.28
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 24 (64-bit) v.6.0.240 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-x64.exe)^
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.1.102.62 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.6.602.180 Внимание! Скачать обновления
Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления
Adobe Reader X MUI v.10.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Yandex v.22.0.1106.241
Opera 12.15 v.12.15.1748
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.15.1748.0
-------------EndLog-------------------------------

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	09.04.2013, 19:40
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему - в полном объеме. 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	10.04.2013, 07:16
	Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!! Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 0

@-sway- 0 / 0 / 0 Регистрация: 09.04.2013 Сообщений: 7
	10.04.2013, 18:11 [ТС]
	Все очистил как написали, потом в безопасном режиме прогнал полную проверку CureIt, нашлась еще парочка зараженных страниц в тэмпах. Тоже удалил. В одноклассниках ссылки на восстановление пароля заработали, уже поменял на более сложный. Спасибо большое за помощь! 0

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	10.04.2013, 18:20
	Рекомендации после удаления вредоносного ПО для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24 , когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам. 1

@-sway- 0 / 0 / 0 Регистрация: 09.04.2013 Сообщений: 7
	10.04.2013, 19:12 [ТС]
	Security Check by glax24 version 0.1.6.54 rc1 WebSite: www.safezone.cc DataLog 10.04.2013 19:11:46 Program directory: C:\Users\Пользователь\AppData\Local\Temp \SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False XML File - VersionLocal=3.8 Диск C:\ ФС: NTFS Емкость: (343 Гб) Занято: (63 Гб) Свободно: (280 Гб) ________________________________________ __________ WIN_7(6.1) Build 7601 (x64) HomePremium Lang: Russian(0419) Дата установки ОС: 21.10.2011 05:20:20 Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно. Service Pack 1 Internet Explorer 9.0.8112.16421 -------------Windows------------------------------ Контроль учётных записей пользователя включен Автоматическое обновление отключено Дата установки обновлений: 2012-05-07 07:27:39 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Kaspersky Internet Security Антивирус обновлен -------------Firewall_WMI------------------------- Kaspersky Internet Security -------------AntiSpyware_WMI---------------------- Kaspersky Internet Security Windows Defender -------------AntiVirusFirewallInstall------------- Kaspersky Internet Security 2013 v.13.0.1.4190 -------------OtherUtilities----------------------- CCleaner v.2.28 Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100 -------------Java--------------------------------- Java(TM) 6 Update 24 (64-bit) v.6.0.240 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-6u43-windows-x64.exe)^ Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^ -------------AdobeProduction---------------------- Adobe Flash Player 11 ActiveX v.11.1.102.62 Внимание! Скачать обновления Adobe Flash Player 11 Plugin v.11.6.602.180 Внимание! Скачать обновления Adobe Shockwave Player 11.5 v.11.5.9.620 Внимание! Скачать обновления Adobe Reader X MUI v.10.0.0 Внимание! Скачать обновления -------------Browser------------------------------ Yandex v.22.0.1106.241 Opera 12.15 v.12.15.1748 -------------RunningProcess----------------------- C:\Program Files (x86)\Opera\opera.exe v.12.15.1748.0 -------------EndLog------------------------------- 0