• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус_Sponsorship

Статус
В этой теме нельзя размещать новые ответы.

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Здравствуйте, уважаемые!
Помогите мне, пож-ста.
Подозреваю, что поймала вирус.
Само по себе в браузере открывается окно с вкладкой Sponsorship.
Период - около 2-3 недель.
Сначала открывался раз в 2-3 дня, теперь - почти каждый день.
В окне браузера сверкающее сообщение, типа:
"Участие в грин-кард программе"
ИЛИ
"Вы выиграли то-то"
Адрес сайта: m.bingoodthingshappen.com

Анитивирусник ничего не находит (microsoft security essentials).

ОЧЕНЬ буду благодарна за помощь!
 

Вложения

  • virusinfo_syscure.zip
    20.9 KB · Просмотры: 4
  • virusinfo_syscheck.zip
    18.8 KB · Просмотры: 0
  • info.txt
    51 KB · Просмотры: 1
  • log.txt
    42.2 KB · Просмотры: 3

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую Елена, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Sandor, доброй ночи!
Нет, не моя.
Я видела ее, но не рискнула повторять действия, описанные там.
А Вы рекомендуете повторить?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,966
Реакции
2,136
Баллы
643
Ни в коем случае!
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить HijackThis, нажать "Do a system scan only", отметить указанные строки и нажать "Fix сhecked".
Код:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll

2. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
 DeleteFile('C:\Users\User\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
 DeleteFile('C:\Windows\Tasks\DealPly','32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A6174F27-1FFF-E1D6-A93F-BA48AD5DD448}',);
 DeleteFileMask('C:\Program Files\DealPly', '*.*', true);
 DeleteDirectory('C:\Program Files\DealPly');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Подготовьте новые логи AVZ и Rsit.

6. Подготовьте лог MBAM.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Точно так же как вы сделали их в самом начале.
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Это - MBAM
 

Вложения

  • MBAM-log-2013-08-02 (22-14-02).txt
    6 KB · Просмотры: 12

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Часа через 2 сделаю логи AVZ и Rsit.
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Вот логи...
 

Вложения

  • log.txt
    42.6 KB · Просмотры: 2
  • info.txt
    51 KB · Просмотры: 1
  • virusinfo_syscure.zip
    23.8 KB · Просмотры: 2
  • virusinfo_syscheck.zip
    23.5 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,966
Реакции
2,136
Баллы
643
Попробуйте через Установку/Удаление программ деинсталлировать StartNow Toolbar.

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите только:
Обнаруженные папки: 4
C:\Users\User\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\DealPly\UpdateProc\src.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Windows\System32\config\systemprofile\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Sandor, деинсталировала StartNow Toolbar.
Делаю сканирование диска C.
Скажите, пож-ста, удалить всю эту "красоту" нужно будет после того, как нажму кнопку "Показать отчет"?

Добавлено через 3 часа 29 минут 17 секунд
Sandor, я удалила 4 папки и 4 файла.
Но Вы знаете, там еще было 3 файла...
Куда сохранился этот последний отчет?
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Нашла.
Прошу прощения.
Прикрепляю...
 

Вложения

  • mbam-log-2013-08-03 (03-12-31).txt
    5.1 KB · Просмотры: 3

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Удалите только
C:\Users\User\Downloads\Лечим комп\backups\backup-20130802-152246-379.dll (PUP.DealPly) -> Действие не было предпринято.
Реклама еще присутствует?
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
shestale, я же могу удалить его вручную?
Нет, Вы знаете, реклама больше не вылетает, НО за эти 2-3 дня, пока Вы помогаете мне "лечить" комп, он у меня не активно используется (т.е. я редко его включаю).

Добавлено через 6 минут 41 секунду
shestale, а можно Вас еще спросить?
1. Что это был за вирус такой?
2. Откуда он взялся?
3. Что он мне "заразил"?
4. Меня интересует еще и то, мог ли он просканировать мои пароли и доступы к чему-либо (на форумы, к панелям управления хостингом, сбер онлайн, почту)?
5. На этом лечение закончено?
6. Программы, которые я скачивала, я теперь могу удалить с компа?
7. И посоветуйте, пож-ста, антивирусник :)

Добавлено через 3 минуты 11 секунд
Сетевой экран включать?

Добавлено через 14 минут 31 секунду
shestale, кстати, забыла еще сказать, два раза антивирусник, который я скачала и который пока еще 12 дней работает, предотвращал попытку доступа к вредоносному сайту. Вот сейчас - снова. Потому и вспомнила.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,966
Реакции
2,136
Баллы
643
я же могу удалить его вручную?
Да.

Что это был за вирус такой?
Т.н. потенциально нежелательное ПО. Кража паролей не замечена, но если Вы волнуетесь за свои данные, смена паролей не повредит.

предотвращал попытку доступа к вредоносному сайту
MBAM излишне подозрителен, поэтому можете его деинсталлировать.

Для верности, проверимся еще так:

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

По окончании Вам будут даны рекомендации по закрытию уязвимостей системы и по утилитам лечения.


И посоветуйте, пож-ста, антивирусник :)
Антивирусы, межсетевые экраны (firewall)
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Спасибо за ответы.
Отсканированный отчет ниже.
 

Вложения

  • AdwCleaner[R1].txt
    3.9 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,966
Реакции
2,136
Баллы
643
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!
 

Елена

Активный пользователь
Сообщения
34
Реакции
1
Баллы
308
Прикрепляю.
Перезагружаюсь.
 

Вложения

  • AdwCleaner[R2].txt
    4 KB · Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу