Вирус ворующий пароли и деньги! [Trojan-Banker.Win32.Fibbit.uvb, UDS:DangerousObject.Multi.Generic ]

**Anael2015** · 27.12.2017, 15:34

Здравствуйте! Вчера заметил странности какие-то. Появилось окно на пару сек и пропало, думал глюк. Потом запустил бота для сайта 999dice но он не запустился, словно вирус. Отследил то, что он делает и заметил, что вносятся измененния в каталоги и реестр. Сегодня утром зашел на 999dice а моих денежек там нет! Примерно 1200р. Денег то не особо жалко, все равно их с нуля поднял. Просто теперь боюсь за другие сайты и банк, например.

Выполнил скрипт, но ноут так и не перезагрузился. Логи прикрепляю
Винду переустанавливать не особо хочу, так как очень много полезных программ + есть программки, где слетит лицензия, а перепривязка денежек стоит.

+ сейчас заметил, что в папке TEMP появляются какие-то текстовики с работой системы. Что когда запущенно и т.д.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.12.2017, 15:36

Уважаемый(ая) Anael2015, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 27.12.2017, 15:55

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Anael2015** · 27.12.2017, 16:24

Сообщение от mike 1

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сделал всё как и просили. Логи прикрепил!

+ могу скинуть запакованого бота, который скорее всего и был вирусом. На компе его сейчас нет, но помню откуда качал. Мало ли, вдруг поможет

**mike 1** · 27.12.2017, 18:32

Я не удивлюсь, если какое-то из этих установленных расширений сливает информацию налево. Проверьте исполняемый файл бота на virustotal.

CHR Extension: (Google Переводчик) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgj llcleb [2017-10-21]
CHR Extension: (Torrent Search) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\afbpdhiclgghnffhkinjikglgm olhpee [2017-07-12]
CHR Extension: (Диск Google) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigk jlhalf [2017-07-12]
CHR Extension: (Adguard Антибаннер) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgnkhhnnamicmpeenaelnjfhik gbkllg [2017-09-26]
CHR Extension: (Tab Resize - split screen layouts) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkpenclhmiealbebdopglffmfd iilejc [2017-11-16]
CHR Extension: (YouTube) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldk acnbeo [2017-07-12]
CHR Extension: (Notepad) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bmpkhfmiagfhlpecokcjnlhjml koohmf [2017-07-12]
CHR Extension: (ImprovedTube - YouTube Extension) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\bnomihfieiccainjcjblhegjgg lakjdd [2017-12-25]
CHR Extension: (Разблокировать ВК - доступ Вконтакте, ОК) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coahpcpgfnnaddeelpphpifmgf obflog [2017-11-23]
CHR Extension: (MegaBonus - Кешбэк до 40%) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbfipcjecamggjfabeaclacjoo hfjhhn [2017-12-25]
CHR Extension: (Chameleon) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\dmpojjilddefgnhiicjcmhbkjg bbclob [2017-09-20]
CHR Extension: (Adobe Acrobat) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefi ndmkaj [2017-07-12]
CHR Extension: (Fast autoreg) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejieecgghibdgpgmldpohaklok dkfbcg [2017-11-22]
CHR Extension: (NeoBuxOx) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\fcpnnjlljgdcinojgocmjddole lccbjc [2017-07-12]
CHR Extension: (ZenMate VPN - лучшее решение для интернет-безопасности) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfo mcebme [2017-11-22]
CHR Extension: (Toby Mini) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gfdcgfhkelkdmglklfbndgopai hmoeci [2017-09-20]
CHR Extension: (Google*Документы офлайн) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdl olhkhi [2017-07-12]
CHR Extension: (99.9% Dice Помощник) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdagbpedejpckfjjlnenjipopj naabcd [2017-07-12]
CHR Extension: (LastPass: Free Password Manager) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hdokiejnpimakedhajhdlcegep lioahd [2017-11-17]
CHR Extension: (VkOpt) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoboppgpbgclpfnjfdidokiila chfcbb [2017-08-23]
CHR Extension: (VK Музыкальный плеер) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdcodafmbknbopclkbcnfkohme aeapeg [2017-12-27]
CHR Extension: (Speed Dial 2 - Новая вкладка) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclc ccjcik [2017-07-12]
CHR Extension: (Альтернативный поиск) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\kjkgjpddkihmdolbeghifnoacc fklena [2017-11-15]
CHR Extension: (Linkclump) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lfpjkncokllnfokkgpkobnkbkm elfefj [2017-12-27]
CHR Extension: (Direct.Fastix ) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lknnjfgcgglncamgpbbdfkiano kjohlh [2017-07-12]
CHR Extension: (Lazarus: Form Recovery) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\loljledaigphbcpfhfmgopdkpp kifgno [2017-07-12]
CHR Extension: (LetyShops - кэшбэк сервис) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\lphicbbhfmllgmomkkhjfkpbdl ncafbn [2017-12-25]
CHR Extension: (FireShot - скриншоты страниц и аннотации) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mcbpblocgmgfnpjjppndjkmgja ogfceg [2017-12-17]
CHR Extension: (SessionBox - Free multi login to any website) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\megbklhjamjbcafknkgmokldgo lkdfig [2017-12-02]
CHR Extension: (VK Zen) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpfejdpmfgcomleigigpfdlkne imnioj [2017-12-27]
CHR Extension: (IDM Integration Module) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngpampappnmepgilojfohadhhm bhlaek [2017-12-15]
CHR Extension: (VkButton - Качаем музыку и видео из ВК) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmieajomdnmlbmppoagkldjfhk jiijmh [2017-12-25]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccm gmieda [2017-08-22]
CHR Extension: (PDF Viewer) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oemmndcbldboiebfnladdacbdf madadm [2017-07-18]
CHR Extension: (Checker Plus for Gmail™) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljb ihmemj [2017-11-16]
CHR Extension: (vidIQ Vision for YouTube) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pachckjkecffpdphbpmfolblod fkgbhl [2017-12-25]
CHR Extension: (AliExpress Radar) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfjibkklgpfcfdlhijfglamdnk jnpdeg [2017-12-25]
CHR Extension: (Gmail) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoe jaedia [2017-07-12]
CHR Extension: (Chrome Media Router) - C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcj beemfm [2017-12-15]

**Anael2015** · 27.12.2017, 19:25

Сообщение от mike 1

Я не удивлюсь, если какое-то из этих установленных расширений сливает информацию налево. Проверьте исполняемый файл бота на virustotal.

В расширениях я уверен, так как пользуюсь ими не один день, а вот бота скачал вчера. Как раз когда всё это произошло! И через 10 мин после запуска с моего аккаунта ушли деньги! Бот после этого еще раз запустил, но уже с отслежкой, через программу uninstall tool. Отследил, всё удалил. Вроде как ничего нет, но всё же у меня подозрение, что логи сливаются. Именно по этой причине решил дополнительно обратиться сюда, так как мне тут неоднократно помогали. Всё же побаиваюсь за свои финансы, но как писал выше: переустанавливать систему вообще не вариант.

**mike 1** · 27.12.2017, 22:41

Исполняемый файл бота упакуйте в zip архив с именем virus и загрузите по красной ссылке вверху темы.

**Anael2015** · 28.12.2017, 14:58

Сообщение от mike 1

Исполняемый файл бота упакуйте в zip архив с именем virus и загрузите по красной ссылке вверху темы.

Всё сделал!
Результат загрузки
Файл сохранён как 171228_115605_VIRUS_5a44dbd5725a6.zip
Размер файла 4091345
MD5 b568811d88dbcce9c957924442446afa
Файл закачан, спасибо!

**mike 1** · 28.12.2017, 18:04

\virus\bot.exe - Trojan-Banker.Win32.Fibbit.uvb (ворует пароли)
\virus\libeay32.dll - UDS:9DangerousObject.Multi.Generic

**Anael2015** · 28.12.2017, 20:09

Сообщение от mike 1

\virus\bot.exe - Trojan-Banker.Win32.Fibbit.uvb (ворует пароли)
\virus\libeay32.dll - UDS:9DangerousObject.Multi.Generic

Я бот удалил, но не внедрился ли он в систему куда-то? Если я его убрал, то теперь он не украдёт пароль?

**mike 1** · 29.12.2017, 23:26

Активного заражения по логам не видно. Можете для контроля сделать полную проверку с помощью MBAM.

**CyberHelper** · 29.12.2017, 23:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. \virus\bot.exe - Trojan-Banker.Win32.Fibbit.uvb
2. \virus\libeay32.dll - UDS:DangerousObject.Multi.Generic

Вирус ворующий пароли и деньги! [Trojan-Banker.Win32.Fibbit.uvb, UDS:DangerousObject.Multi.Generic ] (заявка № 216898)

Опции темы