Баннер в браузере Opera [Backdoor.Win32.Buterat.jsh ]

[Babax4]

Добрый день. В Opera появился баннер - частично вычистил его (исчезли картинки, осталась ссылка "закрыть", которая временами появляется).

Логи hijackthis и virusinfo_syscheck прилагаю. При попытке выполнить скрипт лечения/карантина - AVZ зависает и вылетает с ошибкой (на шаге: Функция ntdll.dll: fltused (1750) перехвачена, метод CodeHijack (метод не определен) >>> Код руткита в функции fltused нейтрализован - после этого вылетает AVZ).

[Info_bot]

Уважаемый(ая) Babax4, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Выполните скрипт в AVZ:

Код:

begin
  TerminateProcessByName('c:\users\a94d~1\appdata\local\temp\svfvpoq7.exe');
  QuarantineFile('C:\Windows\system32\updater.exe','');
  QuarantineFile('F:\autorun.inf','');
  QuarantineFile('C:\documents\Iterra\hcrbebk.dll','');
  QuarantineFile('C:\Windows\system32\DRIVERS\60724580.sys','');
  QuarantineFile('C:\Program Files (x86)\Webalta\WebaltaUpdaterService.exe','');
  QuarantineFile('c:\users\a94d~1\appdata\local\temp\svfvpoq7.exe','');
  DeleteFile('C:\Program Files (x86)\Webalta\WebaltaUpdaterService.exe');
  DeleteFile('C:\documents\Iterra\hcrbebk.dll');
  DeleteFile('C:\Users\A94D~1\AppData\Local\Temp\svfvpoq7.exe');
  DeleteFile('C:\Windows\Tasks\d65i9yzrbe.job');
  DeleteService('WebaltaController');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1484be54-6a85-11db-b53d-806e6f6e6963}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{869AF56F-A5F6-4B9F-A7EF-6A693207B214}: NameServer = 80.82.209.180
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA7F2D64-08C7-4BC1-A8E4-B64FF0E65B89}: NameServer = 80.82.209.180

Папку C:\documents\Iterra - удалите вручную.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

[Babax4]

Добрый день. Спасибо за помощь! Карантин отправлен. Новые логи во вложении.

- - - Добавлено - - -

Баннер пропал. Перестал работать flash в опере. В Хроме всё в порядке.

[regist]

Выполните скрипт AVZ

Код:

begin
 ExecuteRepair(1);
 ExecuteRepair(8);
RebootWindows(false);
end.

компьютер перезагрузится.

- Сделайте лог полного сканирования МВАМ.

[mrak74]

http://get.adobe.com/ru/flashplayer/otherversions/ скачайте версию Adobe Flash Player для своей ОС и браузера.

[Babax4]

Добрый день.

Флэш обновил - не помогло. Попробую переустановить Opera. В Хроме работает. Лог MBAM прилагаю.
Спасибо.

[mrak74]

- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, чтоF уязвимости устранены.

Сделайте логи RSIT

[Babax4]

Уязвимости устранены. Логи Rsit во вложении.

[mrak74]

Opera переустанавливали ?

[Babax4]

Оперу удалил со всеми личными настройками и переустановил - всё заработало. Если логи все чистые, то тему можно закрыть. Огромное спасибо Вам за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\a94d~1\\appdata\\local\\temp\\svfvpoq7. exe - Backdoor.Win32.Buterat.jsh