Технический форум - Содержимое сайта заблокировано

Технический форум (http://www.tehnari.ru/)

- - Содержимое сайта заблокировано (http://www.tehnari.ru/f183/t83667/)

Содержимое сайта заблокировано

Здравствуйте!
Я столкнулся с такой проблемой: при попытке посетить какой-либо сайт появляется сообщение(во всех браузерах):

СОДЕРЖИМОЕ САЙТА ЗАБЛОКИРОВАНО
Для разблокировки необходимо пройти процедуру активации
Ваш телефон: 7**********.

Кэш и куки чистил.

Ноутбук ASPIRE 5750G
процессор..........................Intel Core B950 2.10GHz 2MB L3 cache
видеокарта.........................NVIDIA GeForce GT 520M, Up to 2229 MB TurboCache
Оперативная память(ОЗУ).....3GB DDR3 Memory
ОС.....................................Windows 7 Максимальная SP1

P.S. На этом сайте находил подобные темы, делал всё как там, но ничего не вышло(может что-то не так делал).
Помогите, пожалуйста.
За ранее СПАСИБО!

добавьте образ автозапуска http://www.tehnari.ru/f150/t81269/

А ссылку я не могу вставить. т.к. нет 20 сообщений ещё

добавьте в тему файл как вложение в расширенном режиме

Вложение 116218

вот образ автозапуска

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.77.2 script [http://dsrt.dyndns.org]

;Target OS: NTv6.1

OFFSGNSAVE

delref HTTP://WEBALTA.RU/SEARCH

delref /C

delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2737658

delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=TEST331&CHNL=TEST331&CD=2XZUYETN2Y1L1QZU0BZZYBTD0FYE0E0DZZZZ0E0FYC0E0ETDTN0D0TZU0CTBYCZZTN1L2XZUTBTFTCTFTBTFTATATC&CR=1062166821

deltmp

delnfr

delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=TEST331&CHNL=TEST331&CD=2XZUYETN2Y1L1QZU0BZZYBTD0FYE0E0DZZZZ0E0FYC0E0ETDTN0D0TZU0CTBYCZZTN1L2XZUTBTFTCTFTBTFTATATC&CR=1062166821

regt 14

exec C:\PROGRA~2\FUNMOODS\1523~1.22\UNINSTALL.EXE

restart

перезагрузка, пишем о старых и новых проблемах.
----------

Спасибо! Вроде помогло, пока что проблем нет, если будут, то сообщу.
А в чём была проблема?

проблема была в том, что hosts подменялся через запуск задачи. в задаче как видите прописан запуск cmd с подменой шаблона hosts из временной папки.

(сейчас это очень распространенный способ заражения).

Цитата:

Полное имя /C
Имя файла /C
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS.TASKS ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\dima\AppData\Local\Temp\33108669aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

выполните так же проверку в малваребайт
http://www.tehnari.ru/f150/t81927/

вот результат сканирования в малваребайт

удалите все найденное в мбам,
перегрузите систему,
и еще раз выполните быстрое сканирование в мбам