Решена Вирус: сайт mybackdoor.net

Статус
В этой теме нельзя размещать новые ответы.

Nastena.m

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте. Помогите, пожалуйста, удалить вирус. Всплывает окно в браузере: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях." и просьбой ввести свой номер телефона, долгая загрузка страниц, при открытии страниц происходит перенаправление на сайт mybackdoor.net
 

Вложения

  • virusinfo_syscheck.zip
    21.8 KB · Просмотры: 1
  • virusinfo_syscure.zip
    23 KB · Просмотры: 2
  • hijackthis.log
    6.7 KB · Просмотры: 2
Приветствую Nastena.m, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
____________________
!!! Если программа RSIT не запускается или работает не корректно, тогда подготовьте лог HijackThis.
не могу скачать программу RSIT, тк ноутбук, глючит при большинстве загрузок, а со второго не могу скачать, тк он и заражен вирусом.
В правилах нашла данную цитату и сделала все по правилам, создала лог HijackThis
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Admin\', '*.exe', false, '', 0, 0);
 QuarantineFile('D:\JSnEQ.EXe','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\Documents and Settings\Admin\quooxa.exe','');
 QuarantineFile('C:\WINDOWS\system32\pjmwdah.dll','');
 QuarantineFile('c:\program files\obnovi soft\obnovisoft.exe','');
 DeleteFile('C:\WINDOWS\system32\pjmwdah.dll');
 DeleteFile('C:\Documents and Settings\Admin\quooxa.exe');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\JSnEQ.EXe');
 if MessageDLG('Заражение Вашего компьютера произошло через автоматический запуск программ на съемных накопителях. Отключить автозапуск?', mtConfirmation, mbYes+mbNo, 0) = 6 then
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221'); 
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','quooxa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [quooxa] C:\Documents and Settings\Admin\quooxa.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\pjmwdah.dll

Сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [quooxa] C:\Documents and Settings\Admin\quooxa.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\pjmwdah.dll

нет ни одной из указанных строк. что делать? создавать заново логи avz?
 
Продолжайте дальше, эти файлы уже удалились.
 
а он в папке AVZ\LOG автоматически обновляет файлы или прежние надо удалить?
 
Посмотрите по дате и времени создания.
 
сделала
 

Вложения

  • virusinfo_syscheck.zip
    19.5 KB · Просмотры: 2
  • virusinfo_syscure.zip
    19.4 KB · Просмотры: 2
  • MBAM-log-2012-12-20 (18-44-41).txt
    6.3 KB · Просмотры: 3
  • hijackthis.log
    6.6 KB · Просмотры: 2
Если закрыли, то повторите сканирование в MBAM и удалите только следующее:

Код:
D:\jsneq.exe (Worm.VB) -> Действие не было предпринято.
D:\jsneq.scr (Worm.VB) -> Действие не было предпринято.
D:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Действие не было предпринято.
E:\TEMP\~zm_{0774CA78-5585-4122-8011-8142E827BF6F}\multibar.exe (PUP.BundleInstaller.ML) -> Действие не было предпринято.

Сделайте новый комплект логов AVZ и RSIT
RSIT так и не скачивается? Даже с зеркала?


Проверимся на уязвимости:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом руководстве.


Обнови Софт - деинсталлируйте - программа предлагает перепакованные установщики программ с подозрительными элементами вроде рекламных тулбаров.
 
Цитата:
Сообщение от Severnyj
Сделайте новый комплект логов AVZ и RSIT
RSIT так и не скачивается? Даже с зеркала?
получилось, вот файлы лог и инфо.

продолжать действия из прошлого сообщения?
 

Вложения

  • log.txt
    38.4 KB · Просмотры: 2
  • info.txt
    9.6 KB · Просмотры: 2
сделала
обнови софт деинсталировала, а анивир таск мэнеджер оставить?
Security Check by glax24 version 0.1.5.48 rc1
WebSite: www.safezone.cc
DataLog 20.12.2012 19:47:30
Program directory: C:\Documents and Settings\Admin\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionLocal=1.8
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lan:0419
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Восстановление системы отключено
-------------Antivirus_WMI------------------------
-------------Firewall_WMI-------------------------
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 21 v.6.0.210 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AppleProduction----------------------
##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Служба работает
-------------Browser------------------------------
Opera 12.12 v.12.12.1707
-------------EndLog-------------------------------
 
Оставляйте, нормальная программа.

Обновите Java по ссылке из Вашего поста:

Java(TM) 6 Update 21 v.6.0.210 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^

B MBAM все что указал удалили?

Как самочувствие системы?
 
B MBAM все что указал удалили?
да удалила только те, что Вы указали.
А остальные не нужно удалять, там не вирусы?
Как самочувствие системы?
интернет заработал нормально.
Вылечились, получается?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу