Показать полную графическую версию : Перекидывает на сайт mybackdoor.net
Здравствуйте. Недавно я столкнулся с такой проблемой. При заходе в инет с любого браузера появляется сообщение: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетях". И иногда перекидывает на какой левый домен mybackdoor.net. Логи к посту прилагаю, надеюсь на вашу помощь...
alex_sev
06-12-2012, 11:41
Скачайте Universal Virus Sniffer (http://dsrt.dyndns.org/files/uvs_v376.zip) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS (http://safezone.cc/forum/showpost.php?p=79351&postcount=1)
Вот все сделал как вы и сказали. Лог прикрепил к посту.
alex_sev
07-12-2012, 09:22
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577). Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите правой кнопкой мыши и скопируйте следующий скрипт в буфер обмена:
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
; C:\WINDOWS\SYSTEM32\AUBVSWI.DLL
addsgn A7679BCC063DC72F035FDBBDEFB50280D3FFF575B49EDA78E9C32E9AD328733826943D564B773C95E180E81A866240AD2B8C 17A2D01AC4207A21F7C720F8DD8C 64 Mayachok
zoo %Sys32%\AUBVSWI.DLL
delall %Sys32%\CREXV.OCX
delall CREXV.OCX
delall %Sys32%\AUBVSWI.DLL
chklst
delvir
deltmp
czoo
restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (http://safezone.cc/forum/showthread.php?t=19310) с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве (http://safezone.cc/forum/showpost.php?p=79352&postcount=1).
Если после выполнения скрипты будут проблемы с меню Пуск, прочтите эту информацию http://safezone.cc/forum/showthread.php?t=18318
Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)
Спасибо. Я в понедельник вышлю логи, когда буду на работе...
На почту файл отправил и лог прилагаю...
alex_sev
10-12-2012, 09:30
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).
Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Documents and Settings\Admin\Application Data\', '*.exe', false, '', 0, 0);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\163.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\txt.exe','');
QuarantineFile('C:\WINDOWS\system32\7.tmp','');
DeleteFile('C:\Documents and Settings\Admin\Application Data\163.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\txt.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\taskhost.exe');
DeleteFile('C:\WINDOWS\system32\7.tmp');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\', '*.exe', false);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','krl4rpleq');
if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Повторите сканирование в MBAM и удалите все найденное.
Проверимся на уязвимости:
Загрузите SecurityCheck by glax24 отсюда (http://safezone.cc/forum/krfilesmanager.php?do=file&dlfileid=36) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?t=19945).
alex_sev
10-12-2012, 13:33
Закрывайте уязвимости:
Internet Explorer 7.0.5730.13 Внимание! Скачать обновления (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-8)
Антивирус Касперского
Антивирус устарел
Автоматическое обновление отключено
Запланируйте полное сканирование антивирусом с обновленными базами. Backdoor.Buterat, которого мы удалили (C:\Documents and Settings\Admin\Application Data\taskhost.exe) любит докачивать всякое другое вредоносное ПО.
Смените все пароли, так как C:\Documents and Settings\Admin\Application Data\txt.exe - угонщик паролей.
Как самочувствие системы?
Большое спасибо. Самочувствие системы стало гораздо лучше. Страницы в интернете больше не блокируются и на левые сайты не перебрасывает. Сегодня постараюсь просканировать систему...
alex_sev
10-12-2012, 14:13
Ознакомьтесь с этими рекомендациями:
http://forum.oszone.net/post-1838507-9.html
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC