Пофиксил в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mailgosearch.ru O4 - HKCU\..\Run: [cuitb] cmd.exe /c copy "C:\Temp\t1" "C:\WINDOWS\system32\drivers\etc\hosts" /Y && erase "C:\Temp\jtobel.dll" && copy "\C:\Temp\dhvpr" "%WINDIR%\system32\drivers\etc\hоsts" /Y && attrib +H "C\system32\drivers\etc\hosts" O17 - HKLM\System\CCS\Services\Tcpip\..\{0905CC4B-4D89-4EA6-9D25-68853388BE32}: NameServer = 37.157.255.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{8208DD93-DAC1-4184-8C6B-636DF692D8AD}: NameServer = 37.157.255.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{846ee342-7039-11de-9d20-806e6f6e6963}: NameServer = 37.157.255.150 O17 - HKLM\System\CCS\Services\Tcpip\..\{FEA77607-DADC-4F31-AF2A-A6C0C7BDDC6C}: NameServer = 37.157.255.150 O17 - HKLM\System\CS1\Services\Tcpip\..\{0905CC4B-4D89-4EA6-9D25-68853388BE32}: NameServer = 37.157.255.150 ** Но изменений так и нет, удалил Temp 1.9 ГБ был, перегрузился - Эффекта ноль! Сука
Отчаявшись я решил CCleaner очистку реестра сделал и всего всего, ещё освободилось порядком 1.5 гб Теперь все пароли в кешах были, теперь все забыл.. растроен! Да ладно. захожу в почту - таблички нет, вконтакет, фейсбук, нету. Эврика! Но захожу в хром опять этот плагин восстанавливается постоянно при удалении и в опере тоже файлы левые восстанавливаются. Истина где-то рядом. что может ещё сделать? Хочу спросить, от этого вредоностного вируса или ПО, как обозвать его не знаю даже. Пароли своровали? или же нет?!
Восстановил страницу вроде все ок (в ВК) табличек не где нет. вроде радостно а тут бац! в недавнее время мы вынуждены были неоднократно замораживать Вашу страницу. В целях безопасности, на этот раз страница была заморожена до завтра, 11:47. Эта страница была заморожена за рассылку от Вашего лица таких сообщений: на стене ******* сегодня в 12:17 Нашел секретный линк на рабочий шпион контакта - ко мне оказывается столько сюрпризов в гости захаживает - http://johncoachhours.screamingvouchers.info
Хочу спросить, от этого вредоностного вируса или ПО, как обозвать его не знаю даже. Пароли своровали? или же нет?! Никто не ответит на этот вопрос, но в целях безопасности хорошо было бы сменить пароли.С другого компа разумеется
Если у тебя не стоит контроль трафика как ты у нас можешь спрашивать ? может у тебя давно уже все пассы слиты в паблик логах? а это окошко самое безобидное что есть ран твоём компе... если комп рабочий то как минимум должен стоять хотя бы бесплатный антивирь
проверить стырены ли пароли ты не сможешь.на счет самого зловреда все как всегда: проверяй авторан,проверяй все процессы на инжект,поставь фаервол-посмотри что происходит.и anvir поставь проверить процессы. p/s/ было бы не плохо если бы ты нашел файл трояна,поковырять охота,не пойму где вы эту дрянь хватаете)
я слоупок. авз делал полную эврестическую проверку с драйвером расширеного мониторинга? как то раз был похожий случай - вирус записывался в память. помог аваст - проверка при загрузке компа. п.с. а так доод все правильно сказал - анвир, фаервол
http://s42.radikal.ru/i097/1301/94/a0b21716bdee.jpg в опере у всех такое имеется такие файлы? или только у меня, не понимаю это виря файлы или нет
даже если этофайлы виря, то это следствие, я думаю. исполняемый файл другой http://www.google.ru/search?q=application/futuresplash&hl=ru&newwindow=1&client=safari&tbo=d&rls=en&lr=lang_ru
Ставь фаервол в режиме обучения, ручками блокируй подозрительные отстуки, убивай модуль в браузере, чисть кеш, перезагружайся и проверяй.Потом отпишись, помогло/не помогло.
запускай паралельно с этой утилитой http://technet.microsoft.com/ru-ru/sysinternals/bb896653 авторанс иногда пишет что файла нет, я в таком случае смотрю тоталкомандером правда нет или есть. иногда таки есть. и не забывай про правую кнопку мыши когда изучаешь подозрительные. сейчас у себя такие квесты увлекательные прошел например сильно труханул когда увидел uzm5odgz File not found: C:\Windows\system32\Drivers\uzm5odgz.sys и гугл не нашел что это такое. посмотрел в редакторе реестра jump to entry пишет что AVZ кернел драйвер. стер на всякий случай )
может быть и то что файл hosts скрыт а в обманку поставили тот ж hosts (с русской буквой) * такое у меня было... в конце файл оказался скрытым и лечилось чисткой файла! файлов в браузере нету лишних! еще Zemana AntiLogger ставь * антикейлоггер.скриншотер и тд! в доп софт
В самый низ hosts опусти и удали все что там есть. И будет тебе счастье... По крайней мере помогало. И поставь файл лишь чтение.
Проблема решилась, спасибо тем кто откликнулся и попытался мне помоч, как советом так и действиями! http://s57.radikal.ru/i158/1301/93/d4f457fea12b.jpg Через таймвивер дал доступ - человек помог, около 1,5 часов работы, теперь кажется все на местах. Там какая-то гадость восстанавливает в HKCU\RUN копирвание нового hosts
