Непонятный вирус, блокирует Одноклассники

Сообщений: 2

Баллов: 1

Регистрация: 15.04.2015

Размещено 26.04.2015 20:43:03

Я так понял что засел какой-то вирус, парсит пароль с одноклассников при вводе, кидает на страницу "На сайте ведутся технические работы".
На следующий день учетная запись уже взломана. Восстанавливаю пароль через телефон, меняю его, пробую опять зайти - снова то же самое повторяется.
Эсет вируса не находит. Пробую заходить с телефона - всё ок.

Прикрепленные файлы

ALEXMACHINE_2015-04-26_21-26-40.7z (608.27 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 26.04.2015 22:35:13

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.85.20 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c ;------------------------autoscript--------------------------- chklst delvir del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\GAMJRP68.EXE del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\ZVCRMK1HXOS.EXE del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\8U0QAMNSRKAMZ.DLL del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\KQE1FXJ63.EXE delref \\?\C:\PROGRAMDATA\VKSAVER\VKSAVER.EXE del \\?\C:\PROGRAMDATA\VKSAVER\VKSAVER.EXE delref HTTP://YANDEX.RU/YANDSEARCH?WIN=83&CLID=1946583&TEXT= delref HTTP://GOOGLE.COM delref HTTP://WWW.YANDEX.RU/?CLID=140465 delref HTTP://RU.MSN.COM/?PC=UP97&OCID=UP97DHP delref HTTP://WWW.MAIL.RU/MRA?LANG=RU del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\1E9B8EC8A.SYS del %SystemDrive%\USERS\8523~1\APPDATA\LOCAL\TEMP\1FA41FB30.SYS deltmp delnfr czoo ;------------------------------------------------------------- setdns Подключение по локальной сети 3\4\{35565C43-C4E3-4424-8967-50B1FE1ABA8F}\208.67.222.222,208.67.220.220 bl B0D4A9B3BD0D600A10C1AFF309DB4277 3862 delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL EXTENSION SETTINGS\PAFKBGGDMJLPGKDKCBJMHMFCDPNCADGH\MANIFEST-000334 restart

Код

     


;uVS v3.85.20 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\GAMJRP68.EXE

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\ZVCRMK1HXOS.EXE

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\8U0QAMNSRKAMZ.DLL

del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\EE13828-F07E9F95-2DF37889-D84BA139\KQE1FXJ63.EXE

delref \\?\C:\PROGRAMDATA\VKSAVER\VKSAVER.EXE
del \\?\C:\PROGRAMDATA\VKSAVER\VKSAVER.EXE

delref HTTP://YANDEX.RU/YANDSEARCH?WIN=83&CLID=1946583&TEXT=
delref HTTP://GOOGLE.COM
delref HTTP://WWW.YANDEX.RU/?CLID=140465
delref HTTP://RU.MSN.COM/?PC=UP97&OCID=UP97DHP
delref HTTP://WWW.MAIL.RU/MRA?LANG=RU
del %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\TEMP\1E9B8EC8A.SYS

del %SystemDrive%\USERS\8523~1\APPDATA\LOCAL\TEMP\1FA41FB30.SYS

deltmp
delnfr
czoo
;-------------------------------------------------------------

setdns Подключение по локальной сети 3\4\{35565C43-C4E3-4424-8967-50B1FE1ABA8F}\208.67.222.222,208.67.220.220
bl B0D4A9B3BD0D600A10C1AFF309DB4277 3862
delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\LOCAL EXTENSION SETTINGS\PAFKBGGDMJLPGKDKCBJMHMFCDPNCADGH\MANIFEST-000334
restart

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )