CureIT обнаружил заражение. - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - CureIT обнаружил заражение. (http://forum.oszone.net/showthread.php?t=250022)

CureIT обнаружил заражение.

Обнаружил BackDoor.Butirat.245, который не определялся установленным KIS2011 . Пароли могли украсть?

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

Откройте блокнотом файл

Код:

C:\Documents and Settings\misha\Application Data\Mozilla\Firefox\Profiles\hflf7mxk.default\prefs.js

и удалите из него строчки

Код:

"browser.startup.homepage" -  "http://home.webalta.ru"

"keyword.URL" -  "http://webalta.ru/search?from=FF&q="

+ проверьте согласно рекомендациям из темы Как изменить стартовую страницу в популярных браузерах

сделайте новые логи RSIT
------------------
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-------------------------------

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Цитата:

Цитата silalex_l

Обнаружил BackDoor.
.....
Пароли могли украсть? »

да, могли.

Цитата:

Цитата regist

да, могли. »

Откуда он мог взяться? И почему ПО Касперского его не видит?

По ошибке запустил вирусный файл. Выложить заново логи?

да, сделайте новый комплект логов по правилам.

Цитата:

Цитата silalex_l

И почему ПО Касперского его не видит? »

если у вас есть образец вируса, то:
Заархивируйте в zip архив с паролем virus и полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

перешлём в вирлабы (в том числе и касперского) и они добавят детектирование.

Цитата:

Цитата regist

сделайте новый комплект логов по правилам. »

Если я сделал сначала п 2.1, п 2.2, затем п 1?

Внимание! Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и подготовьте логи.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'В процессе выполнения скрипта компьютер будет перезагружен.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Documents and Settings\misha\Application Data\Mozilla\Firefox\Profiles\hflf7mxk.default\searchplugins\webalta-search.xml','');

  QuarantineFile('C:\Documents and Settings\misha\Мои документы\asqx2d70\asqx2d70.exe','');

  QuarantineFileF('C:\Documents and Settings\misha\Мои документы\asqx2d70', '*', true, '', 0, 0);

 DeleteFile('C:\Documents and Settings\misha\Application Data\Mozilla\Firefox\Profiles\hflf7mxk.default\searchplugins\webalta-search.xml');

  DeleteFile('C:\WINDOWS\Tasks\xuqn9.job');

  DeleteFile('C:\Documents and Settings\misha\Мои документы\asqx2d70\asqx2d70.exe');

  DeleteFileMask('C:\Documents and Settings\misha\Мои документы\asqx2d70', '*', true);

 DeleteFileMask('C:\Documents and Settings\misha\Мои документы\asqx2d70', '*', true);

 DeleteDirectory('C:\Documents and Settings\misha\Мои документы\asqx2d70');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После этого выполните следующий скрипт в AVZ:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

end.

Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Далее, выполните рекомендации из сообщения regist до пункта "сделайте новые логи RSIT".

После

Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
Подготовьте лог полного сканирования Malwarebytes Anti-Malware (MBAM) => FAQ по работе с Malwarebytes Anti-Malware
Смените пароли от интернет-сайтов.

В AVZ в меню Сервис - Поиск данных в реестре введите в строку поиска webalta. Нажмите Поиск и сохраните протокол. Приложите к следующему сообщению.

Пофиксить в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

В МВАМ удалите только это (потребуется повторное сканирование)

Код:

Обнаруженные ключи в реестре:  2

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.



Обнаруженные файлы:  9

C:\Documents and Settings\misha\Local Settings\Application Data\Webalta Toolbar\WebAltaSearch.dll (PUP.WebAlta) -> Действие не было предпринято.

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

Цитата:

Цитата SolarSpark

Пофиксить в HijackThis следующие строчки: »

Таких строк не нашёл.

Цитата:

Security Check by glax24 version 0.1.5.49 rc1
WebSite: www.safezone.cc
DataLog 30.12.2012 19:42:08
Program directory: C:\Documents and Settings\misha\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=1.9
__________________________________________________

WIN_XP(5.1) Build 2600 (x86) Lang: Russian(0419)
Service Pack 3
Internet Explorer 8.0.6001.18702
-------------Windows------------------------------
Автоматическое обновление отключено (-1)
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Internet Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Internet Security
-------------AntiVirusFirewallInstall-------------
Kaspersky Internet Security 2011 v.11.0.2.556
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.70.0.1100 v.1.70.0.1100
-------------Java---------------------------------
Java(TM) 6 Update 31 v.6.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-6u38-windows-i586.exe)^
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.5.502.135
Adobe Flash Player 11 Plugin v.11.5.502.135
Adobe Reader XI v.11.0.00
-------------Browser------------------------------
Mozilla Firefox 17.0.1 (x86 ru) v.17.0.1
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.17.0.1.4715
C:\Program Files\Internet Explorer\iexplore.exe v.8.0.6001.18702
-------------EndLog-------------------------------

Цитата:

Цитата SolarSpark

SecurityCheck »

Пишет: Unable to open.... Ещё раз, пишет: произошла ошибка при выполнении "SecurityCheck.exe" /autodelscript Отказано в ддоступе. Что всё значит?

Цитата:

Цитата silalex

Таких строк не нашёл. »

Не страшно.

Цитата:

Цитата silalex

Отказано в ддоступе. Что всё значит? »

Возможно защитное ПО заблокировало доступ утилиты к исполнению.

Можно узнать, откуда данный файл? И как от таких предохраняться?

Цитата:

Цитата silalex

Можно узнать, откуда данный файл? »

пути ваши неисповедимы

Цитата:

Цитата silalex

И как от таких предохраняться? »

смените пароли, обновляйте базы антивируса

Выполните рекомендации после лечения