• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на шпионский троян

Статус
В этой теме нельзя размещать новые ответы.

Винни Пух

Активный пользователь
Сообщения
3
Реакции
0
Баллы
301
Добрый день!
Подозреваю, что на мой компьютер попал шпионский троян.

Комп стал медленно работать. Часто подвисает IE.
При попытках обновления сайта через Filezilla или админку хостера явно воруется пароль - в .js файлах на сайте почти сразу оказываются скрипты с ссылками на левые сайты.

Проверялся Авастом - ничего. Malwarebytes'ом - ничего. STOPzilla вроде нашла какой-то троянский файл, удалила, но симптомы остались.

Все логи, указанные в правилах, прицепил.
На Компе Windows7, 64 бита.

Заранее больше спасибо за помощь!
 

Вложения

  • virusinfo_syscheck.zip
    36.3 KB · Просмотры: 0
  • virusinfo_syscure.zip
    35.3 KB · Просмотры: 2
  • info.txt
    40.8 KB · Просмотры: 1
  • log.txt
    53.4 KB · Просмотры: 4

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Винни Пух, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
1. Пофиксите в HJT эти строки
Код:
R3 - URLSearchHook: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

2. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Программу не закрывайте и самостоятельно ни чего не удаляйте!
 

Винни Пух

Активный пользователь
Сообщения
3
Реакции
0
Баллы
301
1. Пофиксил.

2. Malware вроде бы ничего не нашел. Логи в аттаче.
 

Вложения

  • mbam-log-2013-03-11 (14-00-47).txt
    2.2 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Активного заражения не вижу.

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Можно еще провериться так:
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 

Винни Пух

Активный пользователь
Сообщения
3
Реакции
0
Баллы
301
Сделал.

Лог SecurityCheck:

Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 12.03.2013 01:23:18
Program directory: C:\Users\Иван\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=3.5
Диск C:\ ФС: NTFS Емкость: (286.3 Гб) Занято: (106.8 Гб) Свободно: (179.5 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 15.03.2010 12:21:31
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-03-09 10:44:22
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
STOPzilla!
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
avast! Antivirus
Windows Defender
STOPzilla!
-------------AntiVirusFirewallInstall-------------
avast! Free Antivirus v.8.0.1482.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 39 v.6.0.390 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-6u43-windows-i586.exe)^
-------------AppleProduction----------------------
Bonjour v.3.0.0.10
QuickTime v.7.72.80.56 Внимание! Скачать обновления
Служба Bonjour (Bonjour Service) - Служба работает
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.6.602.171
Adobe Flash Player 11 Plugin v.11.6.602.171
Adobe Reader 9.1 MUI v.9.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 19.0.2 (x86 ru) v.19.0.2 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.19.0.2.4814
C:\Program Files (x86)\Internet Explorer\iexplore.exe v.9.0.8112.16464
-------------EndLog-------------------------------

Лог Combofix'а в аттаче.
 

Вложения

  • ComboFixLog.txt
    21.7 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
(Возможно придется указать полный путь, например "C:\Users\User\Desktop\Combofix.exe" /Uninstall )



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Диагноз прежний, все чисто.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу