Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] вирус: "Вы выиграли бонус! Получите 50 смс и 15 общения во всех сетях" (http://forum.oszone.net/showthread.php?t=247559)

mulan 23-11-2012 19:53 2031389
вирус: "Вы выиграли бонус! Получите 50 смс и 15 общения во всех сетях"
 
Вложений: 2
  • info.txt (33.30 KB, скачиваний: 28)
  • log.txt (65.60 KB, скачиваний: 20)
По глупости словила вчера этот вирус.

Проявления следующие: всплывающее окно в браузере Хром с текстом: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях. " и просьба ввести свой номер телефона, долгая загрузка страниц или они вообще не открываются, при открытии страниц иногда идет перенаправление на сайт mybackdoor.net

Сообщение пришлось отсылать с планшета, т.к. файлы не прикреплялись. Или происходит перенаправление со страницы загрузки.

Пожалуйста, помогите избавиться от этой напасти.

iskander-k 23-11-2012 20:28 2031404
mulan, Приветствую.

Выложите зип -архивы из папки LOG АВЗ

mulan 23-11-2012 20:41 2031413
Выкладываю.

mulan 23-11-2012 23:04 2031496
Возможно я сделала ошибку. Я не запустила эти программы от имени Администратора, а простым двойным щелчком. Система Windows 7 Home Premium.

thyrex 23-11-2012 23:11 2031500
Выполните скрипт в AVZ (запустив программу от имени Администратора)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Мулан\Documents\Iterra\yfhfytm.dll','');
 DeleteFile('C:\Users\Мулан\Documents\Iterra\yfhfytm.dll');
DeleteFileMask('C:\Users\Мулан\Documents\Iterra', '*', true);
DeleteDirectory('C:\Users\Мулан\Documents\Iterra');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте новые логи

mulan 24-11-2012 00:20 2031542
Вложений: 2
  • info.txt (33.30 KB, скачиваний: 9)
  • log.txt (71.10 KB, скачиваний: 12)
Файл отправила, логи выкладываю.

mulan 24-11-2012 00:34 2031550
Похоже сработало. Все пришло в норму. :)

iskander-k 24-11-2012 00:41 2031553
Сделайте еще такой лог...


• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

При установке МБАМ откажитесь от пробного периода !

mulan 24-11-2012 01:31 2031583
Вложений: 1
:( Установила и сделала ошибку, установив пробную версию... Попробовала удалить и снова установить через Пульт управления - Удаление программ. Но второй раз этой возможности отказаться уже не было. :( Лог все равно сделала.

Надо ли удалить обнаруженный объект? Spyware.Zeus

iskander-k 24-11-2012 03:44 2031612
Цитата:
Цитата mulan
Установила и сделала ошибку, установив пробную версию. »
Не страшно ..
Цитата:
Цитата mulan
Надо ли удалить обнаруженный объект? Spyware.Zeus »
Нет. Он уже в карантине .

МБАМ можете удалить.

Выполните скрипт в AVZ

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\SYSWOW64\ezsidmv.dat','');
end.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

mulan 24-11-2012 03:58 2031613
Поняла, спасибо.

Архив создан и отправлен.

mulan 24-11-2012 20:14 2032037
Сегодня вирус нигде не проявляется. Можно сказать, что компьютер вылечен?

regist 24-11-2012 21:01 2032061
Код:
C:\Windows\SYSWOW64\ezsidmv.dat
Заархивируйте в zip архив с паролем virus и отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
Подробнее читайте в этом разделе форума поддержки утилиты.


смените все пароли ! этот вирус воровал пароли.

mulan 24-11-2012 21:20 2032066
Security Check by glax24 version 0.1.3.35 beta
WebSite: www.safezone.cc
DataLog 24.11.2012 21:18:16
Program directory: C:\Users\Мулан\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.8
__________________________________________________

WIN_7 (x64) HomePremium Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-11-23 23:25:31
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Microsoft Security Essentials
Windows Defender
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.1.522.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX 64-bit v.11.2.202.160 Внимание! Скачать обновления
Adobe Shockwave Player 11.6 v.11.6.3.633 Внимание! Скачать обновления
Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.23.0.1271.64
-------------EndLog-------------------------------

mulan 24-11-2012 21:48 2032083
Файл отправлен на почту.

iskander-k 24-11-2012 23:11 2032135
Выполните

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\SYSWOW64\ezsidmv.dat','');
 DeleteFile('C:\Windows\SYSWOW64\ezsidmv.dat');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

regist 24-11-2012 23:26 2032152
+
Цитата:
-------------AdobeProduction----------------------

Adobe Flash Player 11 ActiveX 64-bit v.11.2.202.160 Внимание! Скачать обновления

Adobe Shockwave Player 11.6 v.11.6.3.633 Внимание! Скачать обновления

Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления
установите эти обновления.

mulan 25-11-2012 01:08 2032216
Все сделано, скрипт и обновления.

regist 25-11-2012 12:57 2032411
не забудьте сменить пароли.

+ ознакомьтесь и советую выполнять:

Рекомендации после удаления вредоносного ПО

iskander-k 25-11-2012 16:14 2032520
Ели проблем нет- говорим спасибо :) и отмечаем тему решенной .

mulan 26-11-2012 17:11 2033297
Огромное-преогромное спасибо всем за помощь! Вирус не проявляется, пароли поменяла, обновления сделала, программы удалила, проблему, думаю, можно считать закрытой.


Время: 19:20.

Время: 19:20.
© OSzone.net 2001-