По глупости словила вчера этот вирус.

Проявления следующие: всплывающее окно в браузере Хром с текстом: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях. " и просьба ввести свой номер телефона, долгая загрузка страниц или они вообще не открываются, при открытии страниц иногда идет перенаправление на сайт mybackdoor.net

Сообщение пришлось отсылать с планшета, т.к. файлы не прикреплялись. Или происходит перенаправление со страницы загрузки.

Пожалуйста, помогите избавиться от этой напасти.

mulan, Приветствую.

Выложите зип -архивы из папки LOG АВЗ

Выкладываю.

Возможно я сделала ошибку. Я не запустила эти программы от имени Администратора, а простым двойным щелчком. Система Windows 7 Home Premium.

Выполните скрипт в AVZ (запустив программу от имени Администратора)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Мулан\Documents\Iterra\yfhfytm.dll','');
DeleteFile('C:\Users\Мулан\Documents\Iterra\yfhfytm.dll');
DeleteFileMask('C:\Users\Мулан\Documents\Iterra', '*', true);
DeleteDirectory('C:\Users\Мулан\Documents\Iterra');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой формы (http://www.oszone.net/virusnet/)


Сделайте новые логи

Файл отправила, логи выкладываю.

Похоже сработало. Все пришло в норму. :)

Сделайте еще такой лог...


• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - . Откройте лог скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

При установке МБАМ откажитесь от пробного периода !

:( Установила и сделала ошибку, установив пробную версию... Попробовала удалить и снова установить через Пульт управления - Удаление программ. Но второй раз этой возможности отказаться уже не было. :( Лог все равно сделала.

Надо ли удалить обнаруженный объект? Spyware.Zeus

Установила и сделала ошибку, установив пробную версию. »
Не страшно ..
Надо ли удалить обнаруженный объект? Spyware.Zeus »
Нет. Он уже в карантине .

МБАМ можете удалить.

Выполните скрипт в AVZ


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\SYSWOW64\ezsidmv.dat','');
end.


Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.Отправьте c:\quarantine.zip при помощи этой формы (http://www.oszone.net/virusnet/)

Поняла, спасибо.

Архив создан и отправлен.

Сегодня вирус нигде не проявляется. Можно сказать, что компьютер вылечен?

C:\Windows\SYSWOW64\ezsidmv.dat

Заархивируйте в zip архив с паролем virus и отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Загрузите SecurityCheck by glax24 отсюда (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение.Подробнее читайте в этом разделе (http://safezone.cc/forum/showthread.php?t=19622) форума поддержки утилиты.


смените все пароли ! этот вирус воровал пароли.

Security Check by glax24 version 0.1.3.35 beta
WebSite: www.safezone.cc
DataLog 24.11.2012 21:18:16
Program directory: C:\Users\Мулан\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
XML File - VersionInet=0.8
__________________________________________________

WIN_7 (x64) HomePremium Lan:0419
Service Pack 1
Internet Explorer 9.0
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2012-11-23 23:25:31
Центр обновления Windows - Служба работает
Центр обеспечения безопасности - Служба работает
-------------Antivirus_WMI------------------------
Microsoft Security Essentials
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Microsoft Security Essentials
Windows Defender
-------------AntiVirusFirewallInstall-------------
Microsoft Security Essentials v.4.1.522.0
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.65.1.1000 v.1.65.1.1000
-------------Java---------------------------------
-------------AppleProduction----------------------
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX 64-bit v.11.2.202.160 Внимание! Скачать обновления (http://get.adobe.com/ru/flashplayer/)
Adobe Shockwave Player 11.6 v.11.6.3.633 Внимание! Скачать обновления (http://get.adobe.com/shockwave/)
Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления (http://get.adobe.com/reader/)
-------------Browser------------------------------
Google Chrome v.23.0.1271.64
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.23.0.1271.64
-------------EndLog-------------------------------

Файл отправлен на почту.

Выполните


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\SYSWOW64\ezsidmv.dat','');
DeleteFile('C:\Windows\SYSWOW64\ezsidmv.dat');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

+ -------------AdobeProduction----------------------

Adobe Flash Player 11 ActiveX 64-bit v.11.2.202.160 Внимание! Скачать обновления (http://www.oszone.net/go.php?url=http://get.adobe.com/ru/flashplayer/)

Adobe Shockwave Player 11.6 v.11.6.3.633 Внимание! Скачать обновления (http://www.oszone.net/go.php?url=http://get.adobe.com/shockwave/)

Adobe Reader X (10.1.0) MUI v.10.1.0 Внимание! Скачать обновления (http://www.oszone.net/go.php?url=http://get.adobe.com/reader/)
установите эти обновления.

Все сделано, скрипт и обновления.

не забудьте сменить пароли.

+ ознакомьтесь и советую выполнять:

Рекомендации после удаления вредоносного ПО (http://safezone.cc/forum/showthread.php?t=16715)

Ели проблем нет- говорим спасибо :) и отмечаем тему решенной .