Решена Вирус_Sponsorship

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Елена, 1 авг 2013.

Статус темы:
Закрыта.
  1. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Здравствуйте, уважаемые!
    Помогите мне, пож-ста.
    Подозреваю, что поймала вирус.
    Само по себе в браузере открывается окно с вкладкой Sponsorship.
    Период - около 2-3 недель.
    Сначала открывался раз в 2-3 дня, теперь - почти каждый день.
    В окне браузера сверкающее сообщение, типа:
    "Участие в грин-кард программе"
    ИЛИ
    "Вы выиграли то-то"
    Адрес сайта: m.bingoodthingshappen.com

    Анитивирусник ничего не находит (microsoft security essentials).

    ОЧЕНЬ буду благодарна за помощь!
     

    Вложения:

    • virusinfo_syscure.zip
      Размер файла:
      20,9 КБ
      Просмотров:
      4
    • virusinfo_syscheck.zip
      Размер файла:
      18,8 КБ
      Просмотров:
      0
    • info.txt
      Размер файла:
      51 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      42,2 КБ
      Просмотров:
      3
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую Елена, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    1 человеку нравится это.
  4. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Sandor, доброй ночи!
    Нет, не моя.
    Я видела ее, но не рискнула повторять действия, описанные там.
    А Вы рекомендуете повторить?
     
  5. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Ни в коем случае!
     
    1 человеку нравится это.
  6. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

    1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
    Код (Text):
    O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
    O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll
    2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
     DeleteFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
     DeleteFile('C:\Windows\Tasks\DealPly','32');
     RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}',);
     DeleteFileMask('C:\Program Files\DealPly', '*.*', true);
     DeleteDirectory('C:\Program Files\DealPly');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!

    3. После перезагрузки, выполните такой скрипт:
    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

    5. Подготовьте новые логи AVZ и Rsit.

    6. Подготовьте лог MBAM.
     
    1 человеку нравится это.
  7. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Скажите, пож-ста, КАК выполнить вот этот пункт:
     
  8. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Точно так же как вы сделали их в самом начале.
     
  9. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Это - MBAM
     

    Вложения:

  10. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Часа через 2 сделаю логи AVZ и Rsit.
     
  11. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Вот логи...
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      23,5 КБ
      Просмотров:
      1
    • virusinfo_syscure.zip
      Размер файла:
      23,8 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      51 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      42,6 КБ
      Просмотров:
      2
  12. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Попробуйте через Установку/Удаление программ деинсталлировать StartNow Toolbar.

    Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
     
  13. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Sandor, деинсталировала StartNow Toolbar.
    Делаю сканирование диска C.
    Скажите, пож-ста, удалить всю эту "красоту" нужно будет после того, как нажму кнопку "Показать отчет"?

    Добавлено через 3 часа 29 минут 17 секунд
    Sandor, я удалила 4 папки и 4 файла.
    Но Вы знаете, там еще было 3 файла...
    Куда сохранился этот последний отчет?
     
  14. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Нашла.
    Прошу прощения.
    Прикрепляю...
     

    Вложения:

  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.053
    Симпатии:
    4.487
    Удалите только
    Реклама еще присутствует?
     
  16. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    shestale, я же могу удалить его вручную?
    Нет, Вы знаете, реклама больше не вылетает, НО за эти 2-3 дня, пока Вы помогаете мне "лечить" комп, он у меня не активно используется (т.е. я редко его включаю).

    Добавлено через 6 минут 41 секунду
    shestale, а можно Вас еще спросить?
    1. Что это был за вирус такой?
    2. Откуда он взялся?
    3. Что он мне "заразил"?
    4. Меня интересует еще и то, мог ли он просканировать мои пароли и доступы к чему-либо (на форумы, к панелям управления хостингом, сбер онлайн, почту)?
    5. На этом лечение закончено?
    6. Программы, которые я скачивала, я теперь могу удалить с компа?
    7. И посоветуйте, пож-ста, антивирусник :)

    Добавлено через 3 минуты 11 секунд
    Сетевой экран включать?

    Добавлено через 14 минут 31 секунду
    shestale, кстати, забыла еще сказать, два раза антивирусник, который я скачала и который пока еще 12 дней работает, предотвращал попытку доступа к вредоносному сайту. Вот сейчас - снова. Потому и вспомнила.
     
  17. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    Да.

    Т.н. потенциально нежелательное ПО. Кража паролей не замечена, но если Вы волнуетесь за свои данные, смена паролей не повредит.

    MBAM излишне подозрителен, поэтому можете его деинсталлировать.

    Для верности, проверимся еще так:

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
    • Прикрепите отчет к своему следующему сообщению.
    Подробнее читайте в этом руководстве.

    По окончании Вам будут даны рекомендации по закрытию уязвимостей системы и по утилитам лечения.


    Антивирусы, межсетевые экраны (firewall)
     
    1 человеку нравится это.
  18. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Спасибо за ответы.
    Отсканированный отчет ниже.
     

    Вложения:

  19. Sandor
    Оффлайн

    Sandor Ассоциация VN

    Сообщения:
    2.549
    Симпатии:
    980
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
     
  20. Елена
    Оффлайн

    Елена Пользователь

    Сообщения:
    34
    Симпатии:
    1
    Прикрепляю.
    Перезагружаюсь.
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей