Решена Переадресация на MyBackDoor.net

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Alija, 9 дек 2012.

Статус темы:
Закрыта.
  1. Alija
    Оффлайн

    Alija Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Здравствуйте! Помогите, пожалуйста, избавиться от вируса. Всплывает окно в Мозилле с текстом: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях. " и просьбой ввести свой номер телефона, долгая загрузка страниц, при открытии страниц происходит перенаправление на сайт mybackdoor.net
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      31,6 КБ
      Просмотров:
      1
    • virusinfo_syscheck.zip
      Размер файла:
      29,3 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      23,6 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      68,6 КБ
      Просмотров:
      2
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.094
    Симпатии:
    194
    Приветствую Alija, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\System Volume Information\_restore{781A8ED4-3696-40C1-9CDF-4840FF42AB4F}\RP65\A0010077.dll','');
     QuarantineFile('=.exe','');
     QuarantineFile('c:\documents and settings\папа\local settings\temp\F40494C8FB.sys','');
     QuarantineFile('c:\documents and settings\папа\local settings\temp\189DA65C32E.sys','');
     QuarantineFile('C:\DOCUME~1\8C46~1\LOCALS~1\Temp\172E9EA651C.sys','');
     QuarantineFile('C:\WINDOWS\system32\rateulb.dll','');
     DeleteFile('C:\WINDOWS\system32\rateulb.dll');
     DeleteFile('C:\DOCUME~1\8C46~1\LOCALS~1\Temp\172E9EA651C.sys');
     DeleteFile('c:\documents and settings\папа\local settings\temp\189DA65C32E.sys');
     DeleteFile('c:\documents and settings\папа\local settings\temp\F40494C8FB.sys');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','GEST');
     DeleteService('F40494C8FB');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('F40494C8FB');
     BC_DeleteFile('C:\DOCUME~1\8C46~1\LOCALS~1\Temp\172E9EA651C.sys');
     BC_DeleteFile('c:\documents and settings\папа\local settings\temp\189DA65C32E.sys');
     BC_DeleteFile('c:\documents and settings\папа\local settings\temp\F40494C8FB.sys');
    BC_Activate;
     ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
     end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
    Код (Text):
    O4 - HKLM\..\Run: [GEST] =
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O20 - AppInit_DLLs: C:\WINDOWS\system32\rateulb.dll
    Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
     
  4. Alija
    Оффлайн

    Alija Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Забыла упомянуть - При сканировании dr Web регулярно обнаруживает вирус troJan.MayachokMEM.5, в основном в папке SYSTEM32
     
  5. Alija
    Оффлайн

    Alija Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    "Пофиксить" не удалось, в HijackThis не обнаружила указанные Вами строки. Все остальное вроде сделала, результат прикладываю.
     

    Вложения:

  6. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Вот это еще,

    если уже отправляли по форме, продублируйте на почту.


    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом руководстве.
     
  7. Alija
    Оффлайн

    Alija Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Папка Карантин в папке AVZ пустая, отправила имеющийся файл Карантин, но он похоже старый.
     

    Вложения:

  8. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Закрывайте уязвимости:

    Как самочувствие системы?
     
  9. Alija
    Оффлайн

    Alija Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Все замечательно, большущее спасибо.
     
  10. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
Статус темы:
Закрыта.

Поделиться этой страницей