Решена перенаправление на сайт mybackdoor.net

Статус
В этой теме нельзя размещать новые ответы.

Catharsissoul

Новый пользователь
Сообщения
5
Реакции
0
Здравствуйте. Помогите, пожалуйста, удалить вирус. Всплывает окно в браузере: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях." и просьбой ввести свой номер телефона, долгая загрузка страниц, при открытии страниц происходит перенаправление на сайт mybackdoor.net
 

Вложения

  • info.txt
    30.5 KB · Просмотры: 0
  • log.txt
    54.1 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    54.7 KB · Просмотры: 0
  • virusinfo_syscure.zip
    54.4 KB · Просмотры: 1
Приветствую Catharsissoul, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mvchnyh.dll','');
 DeleteFile('C:\WINDOWS\system32\mvchnyh.dll');
 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');
 DelBHO('{af83e43c-dd2b-4787-826b-31b17dee52ed}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchnu.com/406
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\system32\mvchnyh.dll

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt



Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
Все сделал, фиксить было нечего, этих строчек не было. Отправляю файлы. Фирус вроде пропал=)
 

Вложения

  • virusinfo_syscure.zip
    51.5 KB · Просмотры: 1
  • virusinfo_syscheck.zip
    50.7 KB · Просмотры: 0
  • mbam-log-2012-12-14 (06-23-58).txt
    37.3 KB · Просмотры: 2
  • log.txt
    54 KB · Просмотры: 1
  • info.txt
    30.3 KB · Просмотры: 0
Повторите сканирование в MBAM и удалите все кроме:

Код:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\Documents and Settings\Administrator\Рабочий стол\DownloadSetup.exe (Affiliate.Downloader) -> Действие не было предпринято.
C:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files\LouderIt\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files\ICY RADIO by LEX\IcyRadio.RUS (Trojan.XBuild402) -> Действие не было предпринято.
C:\System Volume Information\_restore{EB64011F-253D-4BFD-8EC9-3A66327E41D3}\RP166\A0024106.dll (Spyware.Zeus) -> Действие не было предпринято.
C:\WINDOWS\system32\GreenFields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
C:\WINDOWS\DRV2010\DP_Sound_B_wnt5_x86-32_1003\D\S\C2\CMICONTROL.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\DRV2010\DP_Sound_B_wnt5_x86-32_1003\D\S\C2\cmicpl.cpl (Trojan.Agent) -> Действие не было предпринято.
D:\Autodesk_AutoCAD_2012\Crack\x-force_2012_x32.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Autodesk_AutoCAD_2012\Crack\x-force_2012_x64.exe (Trojan.Agent.ck) -> Действие не было предпринято.
G:\Program Files\Total Commander\Wcmikons.dll (Trojan.FakeAlert) -> Действие не было предпринято.
G:\Program Files\LouderIt\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
G:\Program Files\ICY RADIO by LEX\IcyRadio.RUS (Trojan.XBuild402) -> Действие не было предпринято.
G:\WINDOWS\system32\GreenFields.scr (Malware.Packer.Gen) -> Действие не было предпринято.
G:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
G:\WINDOWS\DRV2010\DP_Sound_B_wnt5_x86-32_1003\D\S\C2\CMICONTROL.exe (Trojan.Agent) -> Действие не было предпринято.
G:\WINDOWS\DRV2010\DP_Sound_B_wnt5_x86-32_1003\D\S\C2\cmicpl.cpl (Trojan.Agent) -> Действие не было предпринято.
I:\Mindjet.MindManager.v9.1.157\keygen\mm9keygenl.exe (Riskware.Tool.CK) -> Действие не было предпринято.
I:\System Volume Information\_restore{EB64011F-253D-4BFD-8EC9-3A66327E41D3}\RP166\A0022635.exe (Hoax.ArchSMS) -> Действие не было предпринято.


Сделайте новый лог MBAM после удаления.

+

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Все сделал, логи прилагаю.
 

Вложения

  • mbam-log-2012-12-15 (10-38-21).txt
    7.2 KB · Просмотры: 1
  • info.txt
    30.3 KB · Просмотры: 0
  • log.txt
    51.7 KB · Просмотры: 1
  • virusinfo_syscure.zip
    49.2 KB · Просмотры: 0
  • virusinfo_syscheck.zip
    49 KB · Просмотры: 0
  • AdwCleaner[R2].txt
    13.5 KB · Просмотры: 1
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

Проверимся на уязвимости:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.
 
вот файлы
 

Вложения

  • AdwCleaner[S1].txt
    13.7 KB · Просмотры: 2
  • SecurityCheck.txt
    2.3 KB · Просмотры: 2
Обновляйтесь:

Автоматическое обновление отключено
Java(TM) 6 Update 20 v.6.0.200 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
QuickTime v.7.66.71.0 Внимание! Скачать обновления
Adobe Reader 9.1 v.9.1.0 Внимание! Скачать обновления
The Bat! Professional v4.2.36.4 v.4.2.36.4 Внимание! Скачать обновления
Mozilla Firefox (3.6.8) v.3.6.8 (ru) Внимание! Скачать обновления

Как самочувствие системы?
 
Спасибо, все хорошо. Я вам очень признателен!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу