адрес заблокирован - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 22.04.2012

Размещено 22.04.2012 14:32:30

Тема, похоже, близнец вот этой:
http://forum.esetnod32.ru/forum6/topic3218/

нод выдает:
Адрес заблокирован.
Адрес URL:
"pwpatrwowo.qipim.ru/b.txt"
IP-адрес:
194.186.88.61:80

Адрес заблокирован.
Адрес URL:
"pwpatrwowo.co.cc/b.txt"
IP-адрес:
112.175.243.21:80

Адрес заблокирован.
Адрес URL:
"pwpatrwowo.co.cc/b.txt"
IP-адрес:
112.175.243.22:80

Сейчас буду делать архив согласно этой теме: http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.04.2012 14:35:41

да, нужен образ автозапуска для анализа проблемы

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 22.04.2012

Размещено 22.04.2012 14:47:49

Отправляю образ.

Помогите пожалуйста!

Прикрепленные файлы

QWERTY1_2012-04-22_14-29-35.7z (325.87 КБ)

Сообщений: 6

Баллов: 3

Регистрация: 22.04.2012

Размещено 22.04.2012 14:54:30

А дальнейшая деятельность со сворованным паролем проста: начинается отправка спама вконтакте, до тех пор пока аккаунт вконтакте не заблокируют. Аккаунт моей жены заблокировали уже несколько раз, в последний раз после разблокировки дали бан на трое суток.
А все началось с неосторожно нажатой ссылки вконтакте...

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 22.04.2012 14:55:07

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\TRANZISTOR\APPDATA\ROAMING\MICROSOFT\IGFXPROF.EXE bl 0E42F051F30BF9E58A9B85DABEE8316B 81920 delall %SystemDrive%\USERS\TRANZISTOR\APPDATA\ROAMING\MICROSOFT\IGFXPROF.EXE delall %SystemDrive%\USERS\TRANZI~1\APPDATA\LOCAL\TEMP\CPUZ130\CPUZ_X64.SYS delall %SystemDrive%\USERS\МАЛЫШ\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU exec "C:\PROGRAM FILES (X86)\WINAMP TOOLBAR\UNINSTALL.EXE" regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\TRANZISTOR\APPDATA\ROAMING\MICROSOFT\IGFXPROF.EXE
bl 0E42F051F30BF9E58A9B85DABEE8316B 81920
delall %SystemDrive%\USERS\TRANZISTOR\APPDATA\ROAMING\MICROSOFT\IGFXPROF.EXE
delall %SystemDrive%\USERS\TRANZI~1\APPDATA\LOCAL\TEMP\CPUZ130\CPUZ_X64.SYS
delall %SystemDrive%\USERS\МАЛЫШ\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
exec "C:\PROGRAM FILES (X86)\WINAMP TOOLBAR\UNINSTALL.EXE"
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Сообщений: 6

Баллов: 3

Регистрация: 22.04.2012

Размещено 22.04.2012 16:28:35

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Версия базы данных: v2012.04.22.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Tranzistor :: QWERTY1 [администратор]

22.04.2012 16:07:59
mbam-log-2012-04-22 (16-07-59).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 227272
Времени прошло: 13 минут , 45 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 0
(Вредоносных программ не обнаружено)

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

Сообщений: 6

Баллов: 3

Регистрация: 22.04.2012

Размещено 22.04.2012 16:34:23

Все сделано!

Архив zoo отправлен на почту, лог сканирования выше.

О результатах отпишусь, как будет видно, воруют ли пароли вконтакте, а также появляются ли сообщения о блокировке адресов.

Огромное спасибо за поддержку!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.04.2012 16:40:12

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 22.04.2012

Размещено 30.04.2012 10:35:19

Проблема решена! Спасибо! Больше не было воровства паролей вконтакте, а также сообщений nod о том, что адрес заблокирован.
Рекомендации по безопасности выполнены.

Кстати, так что это был за вирус?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.04.2012 10:50:05

Цитата

Полное имя C:\USERS\TRANZISTOR\APPDATA\ROAMING\MICROSOFT\IGFXPROF.EXE
Имя файла IGFXPROF.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-04-21 [2012-04-19 16:27:46 UTC ( 1 week, 3 days ago )]

Цитата
Symantec Trojan.Gen.2 Kaspersky HEUR:Trojan.Win32.Generic BitDefender Gen:Variant.Kazy.61758 AntiVir TR/Dropper.Gen

[ Как создать образ автозапуска? ]

[ Закрыто ] адрес заблокирован , какая-то вредоносная гадость поселилась на компьютере. последствия: что-то ворует пароли вконтакте из Firefox, Chrome