Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам > FAQ


Ответ
 
Опции темы Опции просмотра
Старый 14.12.2012, 14:11   #1 (permalink)
Max
Компьютерщик
 
Аватар для Max
 
Регистрация: 12.02.2008
Адрес: ХМАО
Сообщений: 11,625
Записей в дневнике: 36
Сказал(а) спасибо: 9
Поблагодарили 1 раз в 1 сообщении
Репутация: 26467
По умолчанию Валидация аккаунта социальных сетей

Добрый день, уважаемые участники форума.
Не так давно столкнулся с подобной проблемой, когда на домашнем ПК при попытке посещения соц.сетей (вКонтакте, одноклассники) вываливались подобные сообщения.
Самое примечательное то, что ни DrWeb, ни AVZ толкм не могли ничего исправить: DrWeb при каждой проверке (несколько проверок подряд) ругался на зараженность файла "hosts". При помощи AVZ в пункте "Восстановление системы" я пытался восстановить этот ФАЙЛ, но проблема не исчезла. После долгих танцев с бубном проблема была устранена, и вот ее решение.
Качаем и запускаем программу Ccleaner. Заходим в "Сервис/Автозагрузка".
Там былда замечена строчка, типа: <<<HKLM:Run — 14753937 — Корпорация Майкрософт - Все пользователи - cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\14749921FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f>>>.
Прежде, чем удалить саму строчку, сперва я проследывал по ее пути, к исполняемому файлу вируса: C:\Documents and Settings\User\Local Settings\Temp\14749921FdOh и грохнул его вручную, а уже потом удалил ветку из автозагрузки. Вот и все.
__________________
Не задавай вопросов, если не знаешь, что делать с ответом.
Max вне форума   Ответить с цитированием

Старый 14.12.2012, 14:11
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Возможно в этих темах уже есть ответы

Лучшие девушки соц. сетей
Вы присутствуете в социальных сетях?
Восстановление аккаунта ВКонтакте
Поднять два аккаунта на одном компе

Старый 14.12.2012, 20:05   #2 (permalink)
usmfed
Member
 
Регистрация: 26.01.2012
Сообщений: 1,292
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 2 сообщениях
Репутация: 6690
По умолчанию

А у меня 2 дня назад был компьютер, на котором для валидации требовалось ввести номер телефона. Ни один антивирус не нашел ничего подозрительного. Файл hosts был в норме, автозагрузка и реестр не говорили ни о чем подозрительном. Танцы с бубном ни к чему не привели. После двух дней мороки, "грохнул" систему, установил все за ново, восстановил все программы, подгрузил старую базу к программам и все работает. В чем был "полтергейст" так и не понял.
Может кто то с таким встречался. Расскажите для общего образования.
usmfed вне форума   Ответить с цитированием
Старый 15.12.2012, 14:50   #3 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Цитата:
Сообщение от Max Посмотреть сообщение
Самое примечательное то, что ни DrWeb, ни AVZ толкм не могли ничего исправить
в логах AVZ должна была быть эта строчка обязательно
Цитата:
cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1\Temp\14749921FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
в секции автозапуска.

лучше все таки использовать для решения подобных проблем специализированные утилиты, какими являются AVZ, uVS, а не ccleaner, который предназначен для исправления ошибок в реестре.
---------
в uVS, AVZ можно обнаружить левые записи в hosts, левые DNS, статические маршруты, которые блокируют определенные адреса (чаще всего адреса антивирусных компаний и серверов обновления) и многое другое.




вот как выглядит инфо из образа автозапуска системы, снятого с помощью uVS

Цитата:
Полное имя COPY
Имя файла COPY
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
_COPY* (ПОЛНОЕ ИМЯ ~ COPY)(1) AND ( ~ CMD.EXE /C COPY)(1)
_COPY** ( ~ CMD.EXE /C COPY)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run \1565046
1565046 cmd.exe /c copy C:\DOCUME~1\F942~1\LOCALS~1\Temp\1564531FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run \16313062
16313062 cmd.exe /c copy C:\DOCUME~1\F942~1\LOCALS~1\Temp\16312906FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f

Последний раз редактировалось safety; 15.12.2012 в 14:55
safety вне форума   Ответить с цитированием
Старый 15.12.2012, 16:45   #4 (permalink)
Max
Компьютерщик
 
Аватар для Max
 
Регистрация: 12.02.2008
Адрес: ХМАО
Сообщений: 11,625
Записей в дневнике: 36
Сказал(а) спасибо: 9
Поблагодарили 1 раз в 1 сообщении
Репутация: 26467
По умолчанию

Цитата:
Сообщение от usmfed Посмотреть сообщение
Может кто то с таким встречался. Расскажите для общего образования.
Прочитай еще раз первый пост.
Цитата:
Сообщение от ~safety Посмотреть сообщение
лучше все таки использовать для решения подобных проблем специализированные утилиты, какими являются AVZ, uVS, а не ccleaner, который предназначен для исправления ошибок в реестре.
В данной статье рассматривается вариант ручного удаления вируса.
Если просто зайти в "Автозагрузку" (через команду "msconfig"), то там этой строчки небудет, и в логах AVZ тоже, проверил лично, потому как постоянно использую подобные утилиты для реанимации систем из глубокой комы.
Как вариант, посмотрел автозагрузку через программу "Ccleaner" и о чудо: вот она вирусня где засела.
Почему об этом "молчали" логи AVZ и стандартная автозагрузка системы?
__________________
Не задавай вопросов, если не знаешь, что делать с ответом.
Max вне форума   Ответить с цитированием
Старый 15.12.2012, 16:53   #5 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

Max,
как частный случай этот метод (исправления) и сработает, но в общем случае, помимо данного способа перезаписи hosts в автозапуске могут быть и трояны, например majachok и spy.voltar. Почему промолчал AVZ не могу сказать без возможности увидеть лог AVZ.
safety вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 15.12.2012, 16:59   #6 (permalink)
Max
Компьютерщик
 
Аватар для Max
 
Регистрация: 12.02.2008
Адрес: ХМАО
Сообщений: 11,625
Записей в дневнике: 36
Сказал(а) спасибо: 9
Поблагодарили 1 раз в 1 сообщении
Репутация: 26467
По умолчанию

Цитата:
Сообщение от ~safety Посмотреть сообщение
как частный случай этот метод (исправления) и сработает, но в общем случае, помимо данного способа перезаписи hosts в автозапуске могут быть и трояны, например majachok и spy.voltar. Почему промолчал AVZ не могу сказать без возможности увидеть лог AVZ.
При появлении подобного сообщения (валидация аккаунта) в первую очередь следует проверить систему на наличие вирусов и желательно сторонними утилитами (DrWeb & AVZ). НО, если подобные утилиты не увидят зловредный вирус, для этого и написана данная статья. Когда эта проблема возникла у меня, я залез на один форум, где также многие участники писали, что антивирусы им не помогают и большинство из них решили проблему переинсталляцией ОСи. Но разве это выход? Лог AVZ у меня, к сожалению не сохранился, но я с полной ответственностью заявляю, что подобной строчки (ссылающейся на директорию вируса) там небыло.
__________________
Не задавай вопросов, если не знаешь, что делать с ответом.
Max вне форума   Ответить с цитированием
Старый 15.12.2012, 17:07   #7 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

это частая проблема на форумах по безопасности, как правило решается просмотром логов AVZ или uVS. (и написанием соответствующих скриптов).

сам я чаще всего контролирую ход лечения по образу uVS, но и в некоторых случаях замечал подобные строки и в автозапуске AVZ. У меня нет оснований недоверять вам, но без логов и обсуждать нечего.

Сканировать систему в этом случае с помощью DrWeb слишком долгое будет решение - все равно что из пушки палить по воробьям, тем более переустанавливать систему из за того что вредоносный hosts презаписывается ни в какие ворота.

Кстати и очистка темпов в этом случае бы помогла, так как шаблон hosts в темповой папке находится.
safety вне форума   Ответить с цитированием
Старый 15.12.2012, 18:11   #8 (permalink)
usmfed
Member
 
Регистрация: 26.01.2012
Сообщений: 1,292
Сказал(а) спасибо: 0
Поблагодарили 7 раз(а) в 2 сообщениях
Репутация: 6690
По умолчанию

Цитата:
Сообщение от Max Посмотреть сообщение
Прочитай еще раз первый пост. ...
Уважаемый, Мах. Написанное мной
Цитата:
Сообщение от usmfed Посмотреть сообщение
...Ни один антивирус не нашел ничего подозрительного. Файл hosts был в норме, автозагрузка и реестр не говорили ни о чем подозрительном...
наверное полно говорит о том, что и реестр, и файлы были проверены полностью. И записей подобно Вашей
Цитата:
Сообщение от Max Посмотреть сообщение
<<<HKLM:Run — 14753937 — Корпорация Майкрософт - Все пользователи - cmd.exe /c copy C:\DOCUME~1\User\LOCALS~1...C:\Documents and Settings\User\Local Settings\Temp\14749921FdOh..
в них не встречалось(не скажу что дока, но немного реестр читать и править умею).

В том то вся проблема и была, что ни в одном из логов (AVZ, HijackThis и даже хваленый uVS) ни показало ни чего плохого, все обычное как везде. А с CCleaner(как бы плохо к нему не относились некоторые наши форумчане) я всегда начинаю.
Сохранив весь диск на другой носитель и переустановив систему я восстановил все браузеры и программы в "ноль". Даже пробовал над системными файлами "поизголяться"(простым копированием с заменой).
Нету ни где этой заразы.
Поэтому и сказал "полтергейст". Был и пропал.
usmfed вне форума   Ответить с цитированием
Старый 15.12.2012, 18:24   #9 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

usmfed,
если вы уже умеете пользоваться uVS, предлагаю проанализировать проблему с hosts по данному образу автозапуска.
Вложения
Тип файла: rar COMPUTER_2012-12-02_13-57-35.rar (448.7 Кб, 49 просмотров)
safety вне форума   Ответить с цитированием
Старый 15.12.2012, 21:20   #10 (permalink)
Weles
Лентяй
 
Аватар для Weles
 
Регистрация: 13.04.2009
Адрес: Тверь
Сообщений: 16,556
Записей в дневнике: 29
Сказал(а) спасибо: 15
Поблагодарили 81 раз(а) в 14 сообщениях
Репутация: 24915
По умолчанию

Сегодня с такой фигнёй столкнулся, у мужика в одноклассниках телефон просило и всё. Вэбом проверил, ничего не нашёл, подумал что грёбаная соцсеть наконец накрылась и ушёл довольный
Weles вне форума   Ответить с цитированием
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 14:25.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.