Содержимое сайта заблокировано

[MrDmitri95]

Содержимое сайта заблокировано

Здравствуйте!
Я столкнулся с такой проблемой: при попытке посетить какой-либо сайт появляется сообщение(во всех браузерах):

СОДЕРЖИМОЕ САЙТА ЗАБЛОКИРОВАНО
Для разблокировки необходимо пройти процедуру активации
Ваш телефон: 7**********.

Кэш и куки чистил.

Ноутбук ASPIRE 5750G
процессор..........................Intel Core B950 2.10GHz 2MB L3 cache
видеокарта.........................NVIDIA GeForce GT 520M, Up to 2229 MB TurboCache
Оперативная память(ОЗУ).....3GB DDR3 Memory
ОС.....................................Windows 7 Максимальная SP1

P.S. На этом сайте находил подобные темы, делал всё как там, но ничего не вышло(может что-то не так делал).
Помогите, пожалуйста.
За ранее СПАСИБО!

 

[safety]

добавьте образ автозапуска http://www.tehnari.ru/f150/t81269/

 

[MrDmitri95]

А ссылку я не могу вставить. т.к. нет 20 сообщений ещё

 

[safety]

добавьте в тему файл как вложение в расширенном режиме

 

[MrDmitri95]

вот образ автозапуска

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://WEBALTA.RU/SEARCH
delref /C
delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2737658
delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=TEST331&CHNL=TEST331&CD=2XZUYETN2Y1L1QZU0BZZYBTD0FYE0E0DZZZZ0E0FYC0E0ETDTN0D0TZU0CTBYCZZTN1L2XZUTBTFTCTFTBTFTATATC&CR=1062166821
deltmp
delnfr
delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=TEST331&CHNL=TEST331&CD=2XZUYETN2Y1L1QZU0BZZYBTD0FYE0E0DZZZZ0E0FYC0E0ETDTN0D0TZU0CTBYCZZTN1L2XZUTBTFTCTFTBTFTATATC&CR=1062166821
regt 14
exec C:\PROGRA~2\FUNMOODS\1523~1.22\UNINSTALL.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
----------

 

[MrDmitri95]

Спасибо! Вроде помогло, пока что проблем нет, если будут, то сообщу.
А в чём была проблема?

 

[safety]

проблема была в том, что hosts подменялся через запуск задачи. в задаче как видите прописан запуск cmd с подменой шаблона hosts из временной папки.

(сейчас это очень распространенный способ заражения).

Полное имя /C
Имя файла /C
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ

Удовлетворяет критериям
VOLTAR.JOB (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ \TEMP\)(1)
HOSTS.TASKS ( ~ \ETC\HOSTS /)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "cmd.exe" "/c attrib -H C:\Windows\system32\drivers\etc\hosts && copy C:\Users\dima\AppData\Local\Temp\33108669aq C:\Windows\system32\drivers\etc\hosts /Y && attrib +H C:\Windows\system32\drivers\etc\hosts"

Ссылка C:\WINDOWS\SYSTEM32\TASKS\AT1

выполните так же проверку в малваребайт
http://www.tehnari.ru/f150/t81927/

 

[MrDmitri95]

вот результат сканирования в малваребайт

 

[safety]

удалите все найденное в мбам,
перегрузите систему,
и еще раз выполните быстрое сканирование в мбам

 

[MrDmitri95]

после удаления и перезагрузки вот что получилось

 

[safety]

сейчас нормально.
----------
+ закрываем основные уязвимости в системе и приложениях
-----------
Выполните скрипт в AVZ при наличии доступа в интернет:
--------

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile(GetAVZDirectory  + 'log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

AVZ скачайте отсюда
http://z-oleg.com/avz4.zip

 

[MrDmitri95]

всё ясно, сейчас буду устанавливать обновления

 

[safety]

хорошо, на этом пока все. дальше все от вас зависит.

 

[MrDmitri95]

Спасибо за помощь!