Добрый день. Проблема такая, при открытии любым браузером сайта интернет-банка https://online.rsb.ru/ Я попадаю на фишинговый сайт. В Адресной же строке все указано верно. Некоторое время назад были обнаружены и удалены несколько троянов. Сейчас же просканировал систему 2-мя антивирусами (Nod и Kasperskiy) и 3 утилитами (Dr.Web, AVZ и Msert). Ничего не помогает. Помогите.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) lexa2424, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin ClearQuarantine; QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\desktop (1).ini',''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}w64', 4); StopService('{55685567-4840-4a91-962b-49a412e9485a}w64'); SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}Gw64', 4); StopService('{55685567-4840-4a91-962b-49a412e9485a}Gw64'); StopService('Update webget'); DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64'); DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64'); DeleteService('Update webget'); DeleteFile('C:\Program Files (x86)\webget\updatewebget.exe','32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Punto Switcher.lnk','32'); ExecuteSysClean; RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.
Подготовьте лог AdwCleaner
http://virusinfo.info/showthread.php...=1#post1041844
и приложите его в теме.
Эту автонастройку браузера сами делали?Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://eservice-2.com/tables/ranges/ropsettings2.rug
Если нет, пофиксите эту строку в в HijackThis.
После этого сделайте заново лог HijackThis (пункт 3 раздела "Диагностика" правил) и приложите в теме.
Punto Switcher установлена?
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
quarantine.zip загрузил
Автонастройку браузера не делал, пофиксил строку
Punto Switcher установлена, но почему то перестала включаться после загрузки компьютера. (Возможно после того как прогонял всеми утилитами антивирусными)
P.S.: Сейчас Касперский начал выдавать уведомления об обнаружении угроз, уже штук 10 - вот такие:
opr0CQ5H.tmp C:\Users\User\AppData\Local\Opera\Opera\cache\sesn \ 11.10.2014 12:38:03 Trojan-Proxy.JS.Banker.g
Касперский был установлен только вчера, при полном сканировании результатов не дал. А Сейчас пока писал вам пост начал ругаться.
Рекомендую срочно позвонить в банк и временно заблокировать доступ, до окончания разбирательства.
- - - - -Добавлено - - - - -
Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
При подключенном интернете выполните скрипт в AVZ (как выполнить):
Компьютер перезагрузится.Код:begin RegKeyParamDel('HKEY_USERS','S-1-5-21-310361648-2717610096-3456451576-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings','AutoConfigURL'); ClearQuarantine; ExecuteWizard('SCU',2,2,true); ExecuteAVUpdate; ExecuteStdScr(4); RebootWindows(true); end.
Скрипт будет выполняться несколько минут (обычно не больше 10).
После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
Загрузите этот файл по этой ссылке:
http://virusinfo.info/upload_clean.php
По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.
Очистите кэш и cookies-файлы браузеров (как очистить)
Выполните скрипт в AVZ отсюда, скопировав там весь текст (как выполнить):
(копировать при включенной русской раскладке)
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
В первую очередь закрывайте уязвимости Java.
Снимите галки со всего, что относится к Mail.Ru во всех вкладках AdwCleaner. (если пользуетесь этим).
Все остальное удалите в AdwCleaner.
Как удалить:
http://virusinfo.info/showthread.php...=1#post1041864
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.
Сделайте лог CheckBrowserLnk
и приложите в теме.
С автозапуском Punto Switcher позже разберемся. (это я удалил его подозрительный ярлык).
Последний раз редактировалось Nikkollo; 11.10.2014 в 13:47.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
В Банк конечно позвонил сразу же как обнаружил что то неладное, все заблокировано пока.
Архив загрузил:
Файл сохранён как 141011_140216_virusinfo_files_USER-PK_5439386892b9e.zip
Размер файла 17230720
MD5 fd7f3e3939a56aad7ad0265fb962ac36
Кэш и Coockies браузеров очистил по инструкции (3 Браузера: IE, Opera,Chrome)
Найдена 1 уязвимость - Устаревшая версия Java - Переустановлено
Все остальное удалите в AdwCleaner. - Выполнено
Punto - Мелочи жизни.
Больше подозрительного не обнаружил.
Рекомендую сменить все используемые в интернете пароли (или хотя бы самые важные).
Когда банк разблокируете, тоже сразу пароль смените.
Что сейчас с поведением системы и Касперского?
В настройках Punto Switcher посмотрите что-то похожее на "запускать при загрузке системы".
Если есть, попробуйте включить (или выключить и опять включить).
Если не помогает, правой мышью по экзешнику Punto Switcher - создать ярлык.
Затем скопируйте этот ярлык в эту папку:
Если папки в проводнике не видно - в панели управления - параметры папок - вид - включите отображение скрытых папок и файлов.Код:C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Спасибо огромное. Проблема решена.
Сейчас всё кажется в порядке. Касперский больше не ругается.
С Пунто тоже все в норме.
Да, еще совет...
Скорей всего проблема была в устаревшей уязвимой джаве.
При установке новой по умолчанию должно быть включено ее автообновление.
Но на всякий случай проверьте в ее настройках, действительно ли это так.
Ее ярлык должен быть в панели управления.
Ну и если больше проблем нет, то можно заканчивать.
Даже в самом пустом из самых пустых есть двойное дно © Пикник
Вы можете отблагодарить нас так
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) lexa2424, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
