PDA

Показать полную графическую версию : вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя"


dan9601
08-12-2012, 17:28
По глупости словил вчера этот вирус.

Проявления следующие: всплывающее окно в браузере Хром с текстом: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях. " и просьба ввести свой номер телефона, долгая загрузка страниц или они вообще не открываются, при открытии страниц иногда идет перенаправление на сайт mybackdoor.net

Сообщение пришлось отсылать с планшета, т.к. файлы не прикреплялись. Или происходит перенаправление со страницы загрузки.

Пожалуйста, помогите избавиться от этой напасти.

alex_sev
08-12-2012, 18:45
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\oeavdzb.dll','');
DeleteFile('C:\Windows\system32\oeavdzb.dll');
DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://safezone.cc/forum/showthread.php?t=9) (некоторые строки могут отсутствовать):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O20 - AppInit_DLLs: C:\Windows\system32\oeavdzb.dll

Обновите базы AVZ (Файл/Обновление баз) и сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)

dan9601
08-12-2012, 21:41
("Пофиксите" в HijackThis) То что выделить галочками нужно удалить ?

alex_sev
08-12-2012, 21:44
Галочками нужно выделить только указанные мной строки

dan9601
08-12-2012, 22:09
Отправил

alex_sev
08-12-2012, 22:32
А MBAM?

dan9601
08-12-2012, 23:53
Вот и Лог

alex_sev
09-12-2012, 01:16
Повторите сканирование в MBAM и удалите только следующее:

HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.


Проверимся на уязвимости:

Загрузите SecurityCheck by glax24 отсюда (http://safezone.cc/forum/krfilesmanager.php?do=file&dlfileid=36) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?t=19945).

dan9601
09-12-2012, 15:19
Буквально пол часа назад ,было замечено подторможивание загрузки страниц ! Они загружаются но долго ! Окно с вирусом не всплывает ! До этого все работал отлично ! Да, брандмауэр был отключен ! Антивирус включен.

alex_sev
09-12-2012, 15:22
Закрывайте уязвимости:

Service Pack не установлен Внимание! Скачать обновления (http://www.microsoft.com/ru-ru/download/details.aspx?id=5842)
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Java 7 Update 7 v.7.0.70 Внимание! Скачать обновления (http://www.java.com/ru/download/windows_manual.jsp?locale=ru)
^Удалите старую версию и установите новую^
Adobe Reader 9.0.1 v.9.0.1 Внимание! Скачать обновления (http://get.adobe.com/reader/)


Подготовьте лог OTL by OldTimer, как описано на этой странице (http://safezone.cc/forum/showpost.php?p=64662&postcount=1). Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению. Если логи не прикрепляются запакуйте их в архив.

dan9601
09-12-2012, 17:21
Вот этот SecurityCheck.txt сделан после удаления вот этих (HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.) ФАЙЛОВ !!!

alex_sev
09-12-2012, 19:03
Закрывайте уязвимости:
Цитата:
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Java 7 Update 7 v.7.0.70 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Reader 9.0.1 v.9.0.1 Внимание! Скачать обновления
Подготовьте лог OTL by OldTimer, как описано на этой странице.Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.Если логи не прикрепляются запакуйте их в архив. »

dan9601
09-12-2012, 19:16
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^ »
МНЕ ВСЕ ОБНОВЛЕНИЯ СКАЧИВАТЬ ОТ ТУДА ИЛИ ТОЛЬКО ТО ЧТО ВЕСЬ 1.9 гб ?

alex_sev
09-12-2012, 21:49
windows6.1-KB976932-X86.exe 537.8 MB

dan9601
10-12-2012, 08:31
Вот такая вот фигня (((

alex_sev
10-12-2012, 09:30
Через автоматическое обновление пробуйте




© OSzone.net 2001-2012