Блокируется сайт "Одноклассников"

[exboos]

При попытке войти на сайт, появляется баннер с требованием "валидации номера телефона". Сильно сомневаюсь в том, что это инициатива самого сайта. Подозреваю, что это выкачка денег с телефона. Как проверить?

[regist]

exboos, прочитать и выполнить :Правила раздела! Читать перед запросом о помощи!

Цитата: Сообщение от exboos При попытке войти на сайт, появляется баннер с требованием "валидации номера телефона". Сильно сомневаюсь в том, что это инициатива самого сайта.

Банер появляется после авторизации на сайте или сразу после открытия в браузере сайта.это появляется на свежезарегистрированном аккаунте? или вы раньше этим аккаунтом нормально пользовались ?

[exboos]

В том-то и дело, что раньше, правда давно, пользовался. Кстати вчера провели эксперимент. Попытались открыть другой аккаунт, нормально работающий на другом компьютере. Эффект тот же. Баннер вылез.
NOD ничего не нашел

[regist]

тогда ждём логи

[exboos]

Шлю логи

[exboos]

гм... после нескольких проходов AVZ и Dr. Web CureIt! баннер исчез. Сорри за беспокойство. Тем не менее, может там есть информация о том, что ж там было. Для будущих, так сказать, потерпевших.

[regist]

Цитата: Сообщение от exboos гм... после нескольких проходов AVZ и Dr. Web CureIt! баннер исчез.

exboos, советую сделать новые логи, чтобы убедиться что не осталось ничего зловредного.

+ Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[exboos]

Присланные логи как раз и были последними. Видимо, эту гадость грохнул dr.WEB. К сожалению, я не нашел лога его работы. Из того, на что я могу подумать: во время работы он выдал сообщение, что файл ( толи svchost.exe, толи hosts? - не запомнил) модифицирован и предложил заменить его на оригинальный.
Файл карантина virusinfo_files_BOOS.zip закачал, но вряд ли он поможет-ведь баннер пропал до его создания..

[regist]

Цитата: Сообщение от exboos что файл ( толи svchost.exe, толи hosts? - не запомнил)

hosts у вас чистый был.

Цитата: Сообщение от exboos Видимо, эту гадость грохнул dr.WEB.

в логах видны следы заразы, хочется убедиться что после dr.WEB их не осталось.
Обновите базы и повторите логи virusinfo_syscheck.zip и hijackthis.log

Цитата: Сообщение от exboos Файл карантина virusinfo_files_BOOS.zip закачал, но вряд ли он поможет-ведь баннер пропал до его создания..

это для другого, в логах много чистых файлов не известных AVZ, это для пополнения базы .

[exboos]

Пристегиваю новые логи. WEB при сканировании ничего не нашел. В файле "закачка.txt" информация о архиве созданном по скрипту 4

[regist]

Здравствуйте!

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\System Volume Information\_restore{11B3AE81-4B6A-499E-ABD4-B3F181371B9C}\RP25\A0005600.msi','');
 QuarantineFile('C:\System Volume Information\_restore{11B3AE81-4B6A-499E-ABD4-B3F181371B9C}\RP30\A0005926.msi','');
 QuarantineFile('C:\Windows\Temp\aDN1cFpf.sys','');
 DeleteFile('C:\System Volume Information\_restore{11B3AE81-4B6A-499E-ABD4-B3F181371B9C}\RP25\A0005600.msi');
 DeleteFile('C:\System Volume Information\_restore{11B3AE81-4B6A-499E-ABD4-B3F181371B9C}\RP30\A0005926.msi');
 DelBHO('{6B5863A0-C43F-4C0A-982B-CC0E9125783F}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Если в карантине, что-нибудь будет выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Добавлено через 2 минуты
ЗЫ. *.authority.ru, *.bankplus.ru, *.faktura.ru как понимаю в зону доверенных сайтов вы сами добавили ?

[exboos]

Доброе утро.
Спасибо. Выполнил. Файл с карантином перешлю.
ЗЫ. Эти сайты входят в систему электронного банкинга. В зону доверенных внесены либо мной, либо при инсталляции приложений.

[regist]

Пофиксьте в HijackThis

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: &Page Promoter Bar - {BA5D8DF9-1851-4660-B3AE-89E6E030AC34} - (no file)
O24 - Desktop Component 0: (no name) - (no file)

+ Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[exboos]

спасибо, все сделал. Вроде все в норме.