вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя"

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

вирус "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут общения во всех сетя"

По глупости словил вчера этот вирус.

Проявления следующие: всплывающее окно в браузере Хром с текстом: "Вы выиграли бонус! Получите 50 бесплатных смс и 15 минут во всех сетях. " и просьба ввести свой номер телефона, долгая загрузка страниц или они вообще не открываются, при открытии страниц иногда идет перенаправление на сайт mybackdoor.net

Сообщение пришлось отсылать с планшета, т.к. файлы не прикреплялись. Или происходит перенаправление со страницы загрузки.

Пожалуйста, помогите избавиться от этой напасти.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteAVUpdate;

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\Windows\system32\oeavdzb.dll','');

 DeleteFile('C:\Windows\system32\oeavdzb.dll');

 DelBHO('{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}');

 DelBHO('{91397D20-1446-11D4-8AF4-0040CA1127B6}');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

 ExecuteRepair(3);

 ExecuteRepair(4);

 ExecuteWizard('SCU',2,3,true);

RebootWindows(true);

end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

 end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search

O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

O20 - AppInit_DLLs: C:\Windows\system32\oeavdzb.dll

Обновите базы AVZ (Файл/Обновление баз) и сделайте новый комплект логов AVZ и RSIT и прикрепите к следующему сообщению новые логи virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

("Пофиксите" в HijackThis) То что выделить галочками нужно удалить ?

Галочками нужно выделить только указанные мной строки

Повторите сканирование в MBAM и удалите только следующее:

Код:

HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.

Проверимся на уязвимости:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

Подробнее читайте в этом руководстве.

Буквально пол часа назад ,было замечено подторможивание загрузки страниц ! Они загружаются но долго ! Окно с вирусом не всплывает ! До этого все работал отлично ! Да, брандмауэр был отключен ! Антивирус включен.

Закрывайте уязвимости:

Цитата:

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Java 7 Update 7 v.7.0.70 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Reader 9.0.1 v.9.0.1 Внимание! Скачать обновления

Подготовьте лог OTL by OldTimer, как описано на этой странице.
Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.
Если логи не прикрепляются запакуйте их в архив.

Вот этот SecurityCheck.txt сделан после удаления вот этих (HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.) ФАЙЛОВ !!!

Цитата:

Цитата alex_sev

Закрывайте уязвимости:
Цитата:
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Java 7 Update 7 v.7.0.70 Внимание! Скачать обновления
^Удалите старую версию и установите новую^
Adobe Reader 9.0.1 v.9.0.1 Внимание! Скачать обновления
Подготовьте лог OTL by OldTimer, как описано на этой странице.Прикрепите полученные логи OTL.txt и Extra.txt к своему следующему сообщению.Если логи не прикрепляются запакуйте их в архив. »

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^

Цитата:

Цитата alex_sev

Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^ »

МНЕ ВСЕ ОБНОВЛЕНИЯ СКАЧИВАТЬ ОТ ТУДА ИЛИ ТОЛЬКО ТО ЧТО ВЕСЬ 1.9 гб ?

windows6.1-KB976932-X86.exe 537.8 MB

Вот такая вот фигня (((

Через автоматическое обновление пробуйте