Показано с 1 по 10 из 10.

Подмена сайта интернет-банка на фишинговый (заявка № 168317)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    4
    Вес репутации
    8

    Подмена сайта интернет-банка на фишинговый

    Добрый день. Проблема такая, при открытии любым браузером сайта интернет-банка https://online.rsb.ru/ Я попадаю на фишинговый сайт. В Адресной же строке все указано верно. Некоторое время назад были обнаружены и удалены несколько троянов. Сейчас же просканировал систему 2-мя антивирусами (Nod и Kasperskiy) и 3 утилитами (Dr.Web, AVZ и Msert). Ничего не помогает. Помогите.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) lexa2424, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     ClearQuarantine;
     QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk','');
     QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini','');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}w64', 4);
     StopService('{55685567-4840-4a91-962b-49a412e9485a}w64');
     SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}Gw64', 4);
     StopService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
     StopService('Update webget');
     DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
     DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
     DeleteService('Update webget');
     DeleteFile('C:\Program Files (x86)\webget\updatewebget.exe','32');
     DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

    Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.

    Подготовьте лог AdwCleaner
    http://virusinfo.info/showthread.php...=1#post1041844
    и приложите его в теме.

    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://eservice-2.com/tables/ranges/ropsettings2.rug
    Эту автонастройку браузера сами делали?
    Если нет, пофиксите эту строку в в HijackThis.
    После этого сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" правил) и приложите в теме.

    Punto Switcher установлена?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. #4
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    4
    Вес репутации
    8
    quarantine.zip загрузил
    Автонастройку браузера не делал, пофиксил строку
    Punto Switcher установлена, но почему то перестала включаться после загрузки компьютера. (Возможно после того как прогонял всеми утилитами антивирусными)

    P.S.: Сейчас Касперский начал выдавать уведомления об обнаружении угроз, уже штук 10 - вот такие:
    opr0CQ5H.tmp C:\Users\User\AppData\Local\Opera\Opera\cache\sesn \‎ 11.10.2014 12:38:03 Trojan-Proxy.JS.Banker.g
    Касперский был установлен только вчера, при полном сканировании результатов не дал. А Сейчас пока писал вам пост начал ругаться.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Рекомендую срочно позвонить в банк и временно заблокировать доступ, до окончания разбирательства.

    - - - - -Добавлено - - - - -

    Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
    При подключенном интернете выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     RegKeyParamDel('HKEY_USERS','S-1-5-21-310361648-2717610096-3456451576-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings','AutoConfigURL');
     ClearQuarantine;
     ExecuteWizard('SCU',2,2,true);
     ExecuteAVUpdate;
     ExecuteStdScr(4);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Скрипт будет выполняться несколько минут (обычно не больше 10).
    После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
    Загрузите этот файл по этой ссылке:
    http://virusinfo.info/upload_clean.php
    По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.

    Очистите кэш и cookies-файлы браузеров (как очистить)

    Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
    (копировать при включенной русской раскладке)
    http://dataforce.ru/~kad/ScanVuln.txt
    Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
    Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
    Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
    В первую очередь закрывайте уязвимости Java.

    Снимите галки со всего, что относится к Mail.Ru во всех вкладках AdwCleaner. (если пользуетесь этим).
    Все остальное удалите в AdwCleaner.
    Как удалить:
    http://virusinfo.info/showthread.php...=1#post1041864

    Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.

    Сделайте лог CheckBrowserLnk
    и приложите в теме.

    С автозапуском Punto Switcher позже разберемся. (это я удалил его подозрительный ярлык).
    Последний раз редактировалось Nikkollo; 11.10.2014 в 13:47.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  7. #6
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    4
    Вес репутации
    8
    В Банк конечно позвонил сразу же как обнаружил что то неладное, все заблокировано пока.
    Архив загрузил:
    Файл сохранён как 141011_140216_virusinfo_files_USER-PK_5439386892b9e.zip
    Размер файла 17230720
    MD5 fd7f3e3939a56aad7ad0265fb962ac36
    Кэш и Coockies браузеров очистил по инструкции (3 Браузера: IE, Opera,Chrome)
    Найдена 1 уязвимость - Устаревшая версия Java - Переустановлено
    Все остальное удалите в AdwCleaner. - Выполнено
    Punto - Мелочи жизни.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Больше подозрительного не обнаружил.

    Рекомендую сменить все используемые в интернете пароли (или хотя бы самые важные).
    Когда банк разблокируете, тоже сразу пароль смените.

    Что сейчас с поведением системы и Касперского?

    В настройках Punto Switcher посмотрите что-то похожее на "запускать при загрузке системы".
    Если есть, попробуйте включить (или выключить и опять включить).
    Если не помогает, правой мышью по экзешнику Punto Switcher - создать ярлык.
    Затем скопируйте этот ярлык в эту папку:
    Код:
    C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Если папки в проводнике не видно - в панели управления - параметры папок - вид - включите отображение скрытых папок и файлов.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  9. #8
    Junior Member Репутация
    Регистрация
    10.10.2014
    Сообщений
    4
    Вес репутации
    8
    Спасибо огромное. Проблема решена.
    Сейчас всё кажется в порядке. Касперский больше не ругается.
    С Пунто тоже все в норме.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    426
    Да, еще совет...
    Скорей всего проблема была в устаревшей уязвимой джаве.
    При установке новой по умолчанию должно быть включено ее автообновление.
    Но на всякий случай проверьте в ее настройках, действительно ли это так.
    Ее ярлык должен быть в панели управления.

    Ну и если больше проблем нет, то можно заканчивать.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,506
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) lexa2424, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. подмена сайта сбербанк онлайн
      От mint52 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 03.09.2014, 20:55
    2. Ответов: 16
      Последнее сообщение: 10.01.2014, 22:09
    3. Подмена сайта VK.COM
      От plagg в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 25.12.2013, 08:29
    4. Подмена страницы сайта Сбербанка
      От EvgenVi в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 02.04.2013, 18:16
    5. Тормозит, подмена сайта
      От hitman_007 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 23.04.2010, 15:29

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00593 seconds with 22 queries