Обнаружил BackDoor.Butirat.245, который не определялся установленным KIS2011 . Пароли могли украсть?

Профиксите (http://safezone.cc/forum/showthread.php?t=9) в HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Откройте блокнотом файл
C:\Documents and Settings\misha\Application Data\Mozilla\Firefox\Profiles\hflf7mxk.default\prefs.js
и удалите из него строчки
"browser.startup.homepage" - "http://home.webalta.ru"
"keyword.URL" - "http://webalta.ru/search?from=FF&q="

+ проверьте согласно рекомендациям из темы Как изменить стартовую страницу в популярных браузерах (http://safezone.cc/forum/showthread.php?t=18197)

сделайте новые логи RSIT
------------------
Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/forum/showthread.php?t=16050)
-------------------------------
Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?goto=newpost&t=19726).

Обнаружил BackDoor.
.....
Пароли могли украсть? »

да, могли.

да, могли. »
Откуда он мог взяться? И почему ПО Касперского его не видит?

По ошибке запустил вирусный файл. Выложить заново логи?

да, сделайте новый комплект логов по правилам.
И почему ПО Касперского его не видит? »
если у вас есть образец вируса, то:
Заархивируйте в zip архив с паролем virus и полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

перешлём в вирлабы (в том числе и касперского) и они добавят детектирование.

сделайте новый комплект логов по правилам. »
Если я сделал сначала п 2.1, п 2.2, затем п 1?

Внимание! Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов (http://forum.oszone.net/forum-87.html) и подготовьте логи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\misha\Application Data\Mozilla\Firefox\Profiles\hflf7mxk.default\searchplugins\webalta-search.xml','');
QuarantineFile('C:\Documents and Settings\misha\Мои документы\asqx2d70\asqx2d70.exe','');
QuarantineFileF('C:\Documents and Settings\misha\Мои документы\asqx2d70', '*', true, '', 0, 0);
DeleteFile('C:\Documents and Settings\misha\Application Data\Mozilla\Firefox\Profiles\hflf7mxk.default\searchplugins\webalta-search.xml');
DeleteFile('C:\WINDOWS\Tasks\xuqn9.job');
DeleteFile('C:\Documents and Settings\misha\Мои документы\asqx2d70\asqx2d70.exe');
DeleteFileMask('C:\Documents and Settings\misha\Мои документы\asqx2d70', '*', true);
DeleteFileMask('C:\Documents and Settings\misha\Мои документы\asqx2d70', '*', true);
DeleteDirectory('C:\Documents and Settings\misha\Мои документы\asqx2d70');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После этого выполните следующий скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.


Архив quarantine.zip из папки с AVZ отправьте через веб-форму (http://www.oszone.net/virusnet).

Далее, выполните рекомендации из сообщения regist (http://forum.oszone.net/post-2053962-2.html) до пункта "сделайте новые логи RSIT".


После

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
Подготовьте лог полного сканирования Malwarebytes Anti-Malware (MBAM) => FAQ по работе с Malwarebytes Anti-Malware (http://safezone.cc/forum/showthread.php?t=16050)
Смените пароли от интернет-сайтов.

Вот

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

В МВАМ удалите только это (потребуется повторное сканирование)
Обнаруженные ключи в реестре: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы: 9
C:\Documents and Settings\misha\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.


Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска

Загрузите SecurityCheck by glax24 отсюда (http://safezone.cc/forum/krfilesmanager.php?do=file&dlfileid=36) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом руководстве (http://safezone.cc/forum/showthread.php?t=19945).

Пофиксить в HijackThis следующие строчки: »
Таких строк не нашёл.
Security Check by glax24 version 0.1.5.49 rc1
WebSite: www.safezone.cc
DataLog 30.12.2012 19:42:08
Program directory: C:\Documents and Settings\misha\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.9
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено (-1)
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2011 v.11.0.2.556
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jre6u38-downloads-1877409.html)
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Reader XI v.11.0.00
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.17.0.1.4715
C:\Program Files\Internet Explorer\iexplore.exe v.8.0.6001.18702
-------------EndLog-------------------------------

SecurityCheck »
Пишет: Unable to open.... Ещё раз, пишет: произошла ошибка при выполнении "SecurityCheck.exe" /autodelscript Отказано в ддоступе. Что всё значит?

Таких строк не нашёл. »
Не страшно.

Отказано в ддоступе. Что всё значит? »
Возможно защитное ПО заблокировало доступ утилиты к исполнению.

Можно узнать, откуда данный файл? И как от таких предохраняться?

Можно узнать, откуда данный файл? »
пути ваши неисповедимы

И как от таких предохраняться? »
смените пароли, обновляйте базы антивируса

Выполните рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html)