sberbank online - перенаправление на ложную страницу

[tol]

на официальном сайте после введения имени/пароля просят номер телефона, карты и cv. Также нет доступа к каталогу ESET в Program files. Полностью ESET не удаляется и нельзя установить, сообщение - нет прав доступа, бывает сообщение: ошибка при обмене данных с ядром ESET (это уже два дня примерно, до начала работы зловреда) Пытался удалить в реестре записи ESET при помощи CCleaner - не берет, (удаляет, но снова появляются те же записи.). В логе 3 скрипта прога SDL нормальная, давно хорошо работает

[Info_bot]

Уважаемый(ая) tol, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[tol]

просьба посмотреть логи

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Anatol\AppData\Roaming\Microsoft Corporation\olepleRe.cr1', '');
 DeleteFile('C:\Users\Anatol\AppData\Roaming\Microsoft Corporation\olepleRe.cr1', '32');
 DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NvCplWow64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
 RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[tol]

Лог AdwCleaner (by Xplode). тоже прислать?

[Vvvyg]

Конечно.

Пофиксите в HijackThis (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 0http://configspacs.com/Wo1yRd/Pt65.uru

Удалите ESET Smart Security по инструкции из темы Инструкции и утилиты для полного удаления остатков антивирусных продуктов.

Сделайте новый лог HijackThis.

[tol]

лог R1 - потом я удалил то, что было найдено
лог S1 - что получилось после удаления

- - - - -Добавлено - - - - -

Снова лог R2 (то, что после удаления обнаруженного в логе R1) - (может, S1 это не то)

[Vvvyg]

Лог HijackThis после фикса приложите.

[tol]

ESET удалился, спасибо, но там пришлось вводить вручную название esetuninstaller и снесло все сетевые настройки, было видно, что после перезапуска сетевая карта (видимо) настраивалась. Перед удалением ESET предлагалось сохранить сетевые настройки, но я не знал, как это делать и мне надо быстрее снести ESET, подскажите пожалуйста на будущее, как сохранять сетевые настройки

- - - - -Добавлено - - - - -

эот R1 в Hijack не сразу удалился, потом еще раз появился, удалил снова, потом его не стало

[Vvvyg]

Для верности такой лог сделайте.

Скачайте утилиту MiniToolBox и сохраните на рабочем столе.

Запустите при подключённом интернете, отметьте следующие пункты:

• Список настроек прокси Internet Explorer
• Список настроек прокси Firefox
• Список из файла Hosts
• Список настроек IP
• Список настроек Winsock
• Список последних 10 записей журнала событий
• Список установленных программ
• Только проблемных
• Список юзеров, разделов и размера памяти
• Список дампа памяти
• список точек восстановления

и нажмите Старт.

После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

[tol]

лог MiniToolBox

[Vvvyg]

========================= Настройки прокси Firefox: ==============================

"network.proxy.autoconfig_url", "http://configspacs.com/Wo1yRd/Pt65.uru"
"network.proxy.type", 2

В настройках прокси Firefox удалите URL автоматической настройки сервиса прокси и установите режим "Без прокси". Убедитесь, что после сохранения настроек и закрытия FireFox параметры прокси сохранены.

[tol]

я стираю http://configspacs.com/Wo1yRd/Pt65.uru и ставлю настройку без прокси, потом ОК, запускаю Фокс и все там снова находится. Может по-другому надо?

- - - - -Добавлено - - - - -

в настройке "Не использовать прокси для:" находится это - localhost,127.0.0.1 - это надо стереть?

[Vvvyg]

Выполните скрипт в AVZ:

Код:

Function Get_FF_ProfilePath() : String;

 begin
  Result := GetEnvironmentVariable('Appdata') +
		 '\Mozilla\Firefox\' + INIStrParamRead(GetEnvironmentVariable('Appdata') +
		 '\Mozilla\Firefox\profiles.ini', 'Profile0', 'Path', '');
   exit;
 end;

var
FF_Profile : String;

begin
ClearQuarantine;
 FF_Profile := Get_FF_ProfilePath;
 QuarantineFile(FF_Profile + '\prefs.js', '');
 QuarantineFile(FF_Profile + '\preferences\prefcalls.js', '');
 QuarantineFile(FF_Profile + '\preferences\winpref.js', '');
 QuarantineFile(FF_Profile + '\preferences\greprefs.js', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[tol]

карантин отправлен

[Vvvyg]

Удалите файл

Код:

C:\Users\Anatol\AppData\Roaming\Mozilla\Firefox\Profiles/0e720pvs.default\preferences\prefcalls.js

и установите заново настройки прокси в FireFox.

[tol]

спасибо, запись http://configspacs.com/Wo1yRd/Pt65.uru удалена (URL автоматической настройки сервиса прокси), но настройка Без прокси - не устанавливается, остается настройка там, где URL автоматической настройки сервиса прокси (Я захожу в Фоксе: инструменты - настройки - дополнительно - сеть - настроить. Остается запись тут: Не использовать прокси для: localhost,127.0.0.1 - это надо стереть?

- - - - -Добавлено - - - - -

сейчас настройка Без прокси - действительна

[tol]

Снова после включения компа сама настройка установилась: URL автоматической настройки сервиса прокси. Было: Без прокси

[Vvvyg]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[tol]

Прилагаю скан UVS