-
Junior Member
- Вес репутации
- 59
Украли деньги с QIWI Wallet [not-a-virus:WebToolbar.Win32.SearchSuite.c]
14 числа жена хотела перевести деньги другому человеку, для чего закинула на свой киви 1500 руб. При входе на сайт киви вылезло следующее:
Ваше подключение не защищено
Злоумышленники могут пытаться похитить ваши данные с веб-сайта visa.qiwi.ru (например, пароли, сообщения или номера кредитных карт).
Назад к безопасности Скрыть подробности
Вы попытались перейти на сайт visa.qiwi.ru, но сервер предоставил сертификат, выданный организацией, которую операционная система компьютера не считает надежной. Это может означать, что сервер создал свой собственный сертификат, которому Google Chrome не может доверять, или что вмешался злоумышленник.
Перейти на сайт visa.qiwi.ru (небезопасно)
Оно до сих пор кстати такое выдаёт.
Она зашла, перевела сумму человеку, пришло СМС с того же номера что и раньше приходили уведомления киви, с кодом подтверждения(как потом выяснилось, это не код подтверждения перевода, а код для подтверждения отключения СМС-подтверждений платежей.) Не читая, просто ввела код. Деньги снялись на какой-то левый номер +7 995 425 12 68
Из того, что нагуглил, это вирус который меняет как-то настройки роутера.. я в этом мало понимаю, вот прошу помощи, как быть? Что делать?
У меня 2 роутера кстати, один стоит на прием от прова Ростелеком, потом второй подключен последовательно, который раздаёт ва-фай на ноут, второй комп и мобилы/планшеты. Эту систему делал не я, другой человек, который сейчас недоступен к сожалению(
Файла virusinfo_syscure.zip в директории нет, хотя всё сделал по инструкции, зато есть файл virusinfo_autoquarantine.zip
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Glazik, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\program files\movies toolbar\safetynut\safetynutmanager.exe');
TerminateProcessByName('c:\program files\movies toolbar\safetynut\safetynut.exe');
SetServiceStart('SafetyNutManager', 4);
StopService('SafetyNutManager');
QuarantineFile('c:\program files\movies toolbar\safetynut\safetynutmanager.exe','');
QuarantineFile('c:\program files\movies toolbar\safetynut\safetynut.exe','');
QuarantineFile('c:\program files\block\block.exe','');
DeleteFile('C:\Program Files\Movies Toolbar\SafetyNut\safetynut.exe','32');
DeleteFile('C:\Program Files\Movies Toolbar\SafetyNut\SafetyNutManager.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\{38944780-7642-42E3-9803-6E5F78C00DA9}','32');
DeleteFile('C:\WINDOWS\system32\Tasks\{9E94ED52-C661-41DD-9805-6014E862BA24}','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
DeleteService('SafetyNutManager');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O20 - AppInit_DLLs: Д’nh\v
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 59
Карантин прислал, скрипт выполнил, в HiJack пофиксил. Вот новые логи
-
Удалите в MBAM все, кроме:
Код:
Обнаруженные файлы:
C:\Program Files\VSO\ConvertX\5\convertxtodvd.5.x.patch.v4.0.final-Cerberus.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Downloads\BIOS\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Downloads\BIOS\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Torrents-Games\The Sims™ 3 Collection (9 in 1)\Tools\DTLite.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
E:\Downloads\MyPhoneExplorer_Setup_1.8.2.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
E:\Downloads\MyPhoneExplorer_Setup_1.8.4 (1).exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
E:\Downloads\SoftonicDownloader_for_regclean-pro.exe (PUP.Optional.Softonic.A) -> Действие не было предпринято.
E:\Downloads\MyPhoneExplorer_Setup_1.8.4.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\Downloads\raidcall_v7.3.0_inst.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
F:\Downloads\DTLite4481-0347.zip (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\Downloads\FreemakeVideoConverterSetup.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\Downloads\ConvertXtoDVD_5.0.0.74\convertxtodvd.5.x.patch.v4.0.final-Cerberus.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
-
-
Junior Member
- Вес репутации
- 59
-
Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
Запустите при подключённом интернете, отметьте следующие пункты:
- Список настроек прокси Internet Explorer
- Список настроек прокси Firefox
- Список из файла Hosts
- Список настроек IP
- Список настроек Winsock
- Список последних 10 записей журнала событий
- Список установленных программ
- Только проблемных
- Список юзеров, разделов и размера памяти
- Список дампа памяти
- список точек восстановления
и нажмите Старт.
После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
-
-
Junior Member
- Вес репутации
- 59
-
Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере, очистите куки и кэш браузеров.
Проверяйте работу в Интернете.
-
-
Junior Member
- Вес репутации
- 59
mike 1,
Как сделать сброс настроек, и я ж говорю, у меня два роутера последовательно подключены.. я х.з. как потом настроить их на раздачу ..
-
Провайдеру вашему звоните и спрашивайте сетевые настройки они должны в этом вопросе помочь. Сейчас в роутере прописаны Нидерландские DNS адреса.
-
-
Junior Member
- Вес репутации
- 59
Вроде сбросил настройки роутера, а как проверить всё ли нормально?
-
Glazik, свежий лог MiniToolBox сделайте и что с проблемой при заходе на сайт киви?
-
-
Junior Member
- Вес репутации
- 59
При заходе на КИВИ больше не выдаёт ошибку сертификата. Вот свежий лог:
-
Запустите MiniToolBox, отметьте следующие пункты:
- Список настроек прокси Internet Explorer
- Список настроек прокси Firefox
- Список из файла Hosts
- Список настроек IP
- Список настроек Winsock
- Список последних 10 записей журнала событий
- Список установленных программ
- Только проблемных
и нажмите Старт.
После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
-
-
Junior Member
- Вес репутации
- 59
-
чисто.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\movies toolbar\safetynut\safetynut.exe - not-a-virus:WebToolbar.Win32.SearchSuite.c
-
-
Junior Member
- Вес репутации
- 59
Часто используемые уязвимости не обнаружены.
Скрипт выполнен без ошибок.
- - - - -Добавлено - - - - -
Братцы, что бы я без вас делал. Спасибо огромное и поклон до земли. От всей души спасибо за то, что вы делаете.