Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

alexknife

Вконтакте

Рекомендованные сообщения

Вообщем резко пропал доступ на сайт , при заходе на страницу пишет "Вы рассылали спам и т.д) (см.скриншот).

 

Просит ввести пароль и номер мобильного на который что-то пришлют. Отправить СМС не требуют. Попросил друга зайти на мою страницу , нечео этого нету спокойно заходит. Если же я ввожу другой емейл/пароль , то пишет "Неверно" , хотя 101% правильно. Чистил файл hosts. Dr.Web Cureit нашел некоторые вирусы все поудалял (в основном что-то связаное с Java). Как еще бороться?

 

http://www.getsysteminfo.com/read.php?file=fa1fec4e2e5dfd668748ef02f9dd288f

virusinfo_syscheck.zip

hijackthis.txt

post-251862-090554000 1298383286_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://netler.ru/ikt/dwprot-sys.htm Прочти. Выводы делай сам. Трудно контролировать чужой компьютер не зная какие программы были установлены на него и удаленны не корректно.

 

Я проверяю все вновь загруженные файлы антивирусом бесплатным ClamWin Antivirus последнюю версию забираем на их сайте. А в постоянном режиме установлен NOD32 2.7 и все равно пропускаю вирусы. В ноде включен только IMON иначе он так блокирует подозрительные программы что их не каким способом не возможно установить даже если удалить NOD32. Я не сумел запустить программу после того как NOD её заблокировал.Только пере установка Windows у меня решает проблему. А она не вирус. По этому включена в NOD32 только проверка информации с интернета. Но уверен что меньше чем без них. С всякими левыми программами надо быть внимательно, антивирус пишет это вирус может быть и вирус , а может и на основе вируса сделана программа.

 

Добавлю не пользоваться браузерами в которых нет возможности установить параметр в настройках удалять новые cookie после закрытия браузера. В них могут содержатся вирусы. Также не использовать предлагаемую браузерамми функцию сохранения паролей. Я ввожу пароли на каждом сайте по памяти или у меня записано отдельно. Кстати пароли наверно и сохраняются в cookie точно не уверен. Идеальный вариант отключить прием cookie, но без них некоторые открываемые интернет страницы не могут корректно работать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

JimmyJo, а при чём здесь ссылка на проблемы с DrWEB? Топикстартер ведь написал только об CureIt, а не об установленном DrWEB. А указанные вами проблемы с неполным удалением продуктов бывают у многих.

По остальному у вас есть и верные мысли, а есть и не очень верные. Если хотите получше разобраться в описанных вами вещах, тогда советую почитать вот эту книгу - http://security-advisory.ru/ - там и про куки, и про настройки браузеров, и ещё про много чего.

 

 

alexknife, логи сейчас посмотрю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

WIGF , если , что то я могу зайти на главную страницу (скрин прикрепил). Но как только ввожу свои данные , сразу выпадает то , что на первом скрине. На другом форуме мне сразу человек 10 сказало , что мол реально вконтакте теперь имеет такую защиту и т.д. Может это верно?

post-251862-002063500 1298393255_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я там не зарегистрирован, поэтому про то есть или нет там такого, не знаю, но в системе есть явно лишние и возможно вредоносные вещи. Сейчас пофиксим и посмотрим на результат.

 

Эммм... Официально SP1 к семёрке ведь ещё не вышел... Ну да ладно, это на ваше усмотрение.

 

У вас есть совершенно ненужный софт qipguard - http://wiki.qip.ru/QIP_Guard

И соответственно куча записей в настройках IE, которые ставит и восстанавливает это qipguard. Удалите его, а потом и мусор от него дочистим.

 

Пофиксить в HiJackThis (если вдруг вам всё-таки нужно, чтобы везде, где только можно, был прописан qip, тогда можете и не фиксить строки с ним, но мусора он знатное количество прописывает в системе):

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://downloads.phpnuke.org/en/index.php?rvs=google
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://downloads.phpnuke.org/en/index.php?rvs=google

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://downloads.phpnuke.org/en/index.php?rvs=google
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://downloads.phpnuke.org/en/index.php?rvs=google
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) -  - (no file)

O1 - Hosts file is located at: C:\Windows\System32\drivers\etc from reset hosts\hosts
O1 - Hosts: ::1 localhost
O2 - BHO: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)

O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qstatsrv.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll

O3 - Toolbar: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [Reset_Hosts] "%ProgramFiles%\Reset_hosts\Reset hosts.exe"

O4 - HKCU\..\Run: [QIP Internet Guardian] C:\Users\1\AppData\Roaming\QipGuard\QipGuard.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll (file missing)

 

 

Также у вас есть PokerStars и WebMoney Agent. Сами ставили?

 

И мне не нравится xfire, который у вас и в виде тулбара, и ещё кое-где в системе прописался. Сами ставили?

 

Лога AVZ смотрю...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё ненужно постарайтесь удалить через панель управления или же поищите прям на диске в program files в папках с этими программами деинсталяторы (бывает, что они только там есть). Если не выйдет, тогда вычистим хайджеком.

 

А у вас, оказывается и правда есть остатки от DrWEB. Почистите их по ссылке, предложенной JimmyJo или с помощью родной утилиты - ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я ее использовал , но результата не-какого. Качал ее после начала этой байды уже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выполните скрипт в AVZ:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\\Reset_hosts\Reset hosts.exe','');
BC_DeleteFile('C:\Program Files\\Reset_hosts\Reset hosts.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Reset_Hosts');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

Комп перезагрузится. После этого почистите мусор на компе с помощью встроенной очистки или с помощью ccleaner.

Также запустите в AVZ Мастер поиска и устранения проблем и устрините их во всех группах.

Потом перезагрузите комп и сделайте заново логи AVZ и HiJackThis.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пофиксить в Хайджеке:

R3 - URLSearchHook: (no name) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

 

Выполнить скрипт в AVZ:

begin
BC_DeleteFile('C:\Windows\system32\xfire_lsp_10650.dll');
ClearHostsFile;
ExecuteWizard('TSW',2,3,true);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже самое :( Чего то резко склоняюсь к мысле , что это не вирус а защита контакта =(

 

Поскольку началось после того , как я нафлудил порядка 50 постов в разных групах +(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, тогда скорее всего вас именно на самом ресурсе ограничили (похоже, что по IP). Тут поможет только общение по почте с ними.

С учётом того, что выше написал Artificial Knight и вы написали, что пофиксили, больше ничего в логах нет. Ну уж точно нет ничего такого, что может блокировать доступ к сайту.

 

Но напоследок всё-таки запустите ещё разок AVZ-"Файл"-"Мастер поиска и устранения проблем" и пофиксите в нём вот это:

 >>  Таймаут завершения процессов находится за пределами допустимых значений
>>  Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>>  Разрешен автозапуск со сменных носителей

Автозапуск с CD можно оставить, а вот все остальные автозапуски рекомендуется отключить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По IP вряд ли, у билайна постоянный ip за дополнительную плату, скорее всего по имени (логин). Ещё точнее по регистрационным данным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И всё-таки топикстартер написал в первом сообщении следующее:

Попросил друга зайти на мою страницу , нечео этого нету спокойно заходит. Если же я ввожу другой емейл/пароль , то пишет "Неверно" , хотя 101% правильно.
А значит в том или ином виде блокировка по IP присутствует.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

alexknife, другим браузером пробовал зайти ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А не легче найти в реестре HOSTS?

А по теме, там идет подмена файла hosts, т.е он просто невдим, TrojanRemover в помощь, или скачать программу MusicSig и просто её открыть)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ProX_Xy, если бы вы были более внимательны, то увидели бы, что топикстартер выкладывал логи, в т.ч. лог AVZ, в котором (а их несколько было) можно увидеть, что никаких лишних строк в файле hosts нет и никуда он не спрятан. B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не сюда хотел написать. Сюда пока мне больше нечего писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если все еще актуально.

 

Контакт недавно решил усилить защиту от взлома, и постарался принудить народ привязывать свои аккаунты к мобильным телефонам. В некоторых случаях, например при флуде ("50 сообщений в разных группах") могли так же попросить сменить перед этим пароль, да бы злоумышленники не могли воспользоваться возможностью полностью завладеть акком, т.к. после привязки к телефону код разблокировки будет высылаться на телефон. Поэтому если лечение не помогло, а я смотрю то это так, то надо просто сменить пароль. лучше конечно на всякий случай это делать с другой, заведомо чистой машины, хотя если ваш друг может от вас зайти в свой акк, значит вирусни нет.

 

Спасибо за внимание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не заходит вконтакте

чем поможете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не заходит вконтакте

чем поможете?

телепатией и экстросенсорикой. и инструкцией. без логов только общими фразами типа - проверь вход с другого компа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не заходит вконтакте

чем поможете?

телепатией и экстросенсорикой. и инструкцией. без логов только общими фразами типа - проверь вход с другого компа.

а как логи сделать?

заранее благодарен

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

все решилось довольно легко изменением файла hosts на стандартный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах