Показано с 1 по 17 из 17.

BackDoor.Andromeda.404 в браузере firefox и не только (заявка № 172065)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12

    BackDoor.Andromeda.404 в браузере firefox и не только

    Здравствуйте. Не могу победить зловреда стандартными средствами.
    С недавних пор проверка др.вебом (сканирование) дает результат BackDoor.Andromeda.404 в оперативной памяти фаерфокс.
    1.jpg
    Причем эта зараза после лечения появляется сразу же, следующее сканирование через минуту показывает опять этот бэкдор. Этот вирус показывает только тогда, когда работает браузер фаерфокс. В других браузерах его нет. При отключенном фаерфокс его тоже нет. При включенном фаерфокс и безопасном режиме компа его тоже нет (подключение к сети м.б. отсутствует или что-то еще).

    Проверка компа на вирусы Kaspersky Virus Removal Tool результатов не дает, утилита ничего не видит.

    Также в браузере идет подмена рекламного кода гугл адсенсе каким-то посторонним, см. скрин рекламы на игровом сайте.
    2.jpg
    Не знаю связаны эти события или нет. Но даже если нет - удалить этот зловред подменяющий и проставляющий на сайтах свою рекламу мне также хотелось бы. Поиск по установленным дополнениям мне ничего не дал.

    Еще признак заражения - последние дни почта мэйл.ру блокирует каждый день мой почтовый ящик, пишут что идет спам-рассылка. Каждый день я ставлю новые пароли и подтверждаю по смс свои права. Поставил вход только с одного айпи и 1 сессия в настройках ящика. Не помогает. Вижу что в ящик кроме меня (ип и браузер) никто не заходил. Вывод у меня - идет рассылка спама через мой комп.

    Прошу помощи.

    Т.к. система виндовс 64, то согласно http://virusinfo.info/content.php?r=136-pravila файл virusinfo_syscure.zip не делал.

    Остальные 2 файла во вложении.
    п.с. забыл добавить - файл hosts изменил я сам, можно не обращать внимание.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,464
    Вес репутации
    343
    Уважаемый(ая) shfiltr, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    лог ComboFix во вложении
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    В интернет выходите через роутер?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #6
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    да, роутер D-Link DIR-320, оптоволокно, провайдер Домолинк.

  9. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,531
    Вес репутации
    3021
    Сделайте аппаратный сброс настроек, введите правильные
    Смените пароль на роутере на более сложный.
    Очистите куки и кэш браузеров, перезагрузитесь

    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #8
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    Цитата Сообщение от thyrex Посмотреть сообщение
    Сделайте аппаратный сброс настроек, введите правильные
    Смените пароль на роутере на более сложный.
    Очистите куки и кэш браузеров, перезагрузитесь

    Что с проблемой?
    Сейчас сделаю что вы сказали. Но в настройках роутера если не справлюсь то ответить смогу не скоро )))
    Пошел разбираться, отпишусь обязательно как настрою интернет.

    - - - - -Добавлено - - - - -

    сделал аппаратный сброс, настроил роутер сам как смог, раз тут пишу то вроде получилось.
    Смените пароль на роутере на более сложный.
    Вы имеете ввиду пароль тот что в интерфейсе роутера? когда через браузер менять настройки? или пароль который мне дал провайдер к доступу к услуге интернета?
    Если пароль от интерфейса роутера, то сменил. Если пароль от учетных данных интернета - то позвонил в техподдержку, мне сказали что смена возможно только при личном посещении офиса. Поэтому уточните что за пароль, возможно потребуется поездка к провайдеру.

    Очистите куки и кэш браузеров, перезагрузитесь
    все почистил, комп перезагрузил.

    Что с проблемой?
    Проблема с BackDoor.Andromeda.404 осталась. Только что сканером др.веб прогнал.
    Проблемы с левыми баннерами пока что не наблюдаю, но тут надо еще потестить. Хотя скорее всего решилась.

  11. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Вы имеете ввиду пароль тот что в интерфейсе роутера?
    Да.

    Проблема с BackDoor.Andromeda.404 осталась.
    Это ложное срабатывание. Упакуйте файл C:\Program Files (x86)\Mozilla Firefox\firefox.exe в zip архив с паролем virus и отправьте в вирусную лабораторию DrWeb с пометкой "Ложное срабатывание".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  12. Это понравилось:


  13. #10
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    отправьте в вирусную лабораторию DrWeb
    отправил как сумел по этому адресу https://vms.drweb.com/sendvirus?lng=ru

    Я так понимаю кто-то изменил настройки моего роутера и совершал спам-рассылку с моего компа?
    Или шла подмена баннеров в браузере из-за взлома роутера?
    Можно хотя бы 2 слова комментариев для прояснения ситуации что у меня было с компом? Буквально 2 слова, возможно это поможет мне понять откуда я отхватил эту бяку. Спасибо.

    И спасибо за то что очень быстро помогли!!!
    P.S. С меня Webmoney

  14. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Я так понимаю кто-то изменил настройки моего роутера и совершал спам-рассылку с моего компа?
    Была подмена DNS адресов в роутере. Если на роутере стоит стандартный пароль admin, то почти любой может в него зайти и изменить настройки роутера.

    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



    Скачайте OTCleanIt, запустите, нажмите Clean up

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  15. Это понравилось:


  16. #12
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
    Еще вчера (сегодня ночью) сделал это действо, что-то ничего не произошло.

    Следом слелал
    Скачайте OTCleanIt, запустите, нажмите Clean up
    Компьютер перезагрузился, утилита пропала с рабочего стола.

    Сейчас увидел ваше сообщение и пошел смотреть что с ComboFix - в папке где она была я ее не нашел.

    откроется лог в блокноте с именем SecurityCheck.txt
    Открылось, что с ним делать не знаю. Высылаю вам сюда во вложении.

    Кстати пришел ответ от др.веб:
    Ваш запрос был проанализирован. Для присланного Вами файла указана категория "Ложное срабатывание", но на данный момент файл сканером Dr.Web не определяется как угроза.
    Возможно, ложное срабатывание уже было исправлено специалистами ООО "Доктор Веб", или Вы указали неверную категорию.
    Если Вы уверены, что данный файл представляет угрозу, пожалуйста, воспользуйтесь формой отправки повторно и укажите наиболее подходящую категорию запроса.
    Но что интересно - я сейчас включил комп и прогнал сканером - угрозу показало. Следом обновил базы и еще раз проверил - угрозы уже небыло. Значит исправили, видимо кто-то сообщил кроме меня им про это. И это действительно был ложный сигнал антивиря. Теперь я спокоен.

    - - - - -Добавлено - - - - -

    Вчера-сегодня обновлял знакомые сайты где я точно знал была подмена баннеров гугл - все было ок, сейчас выскочил такой код:
    22.jpg
    Что интересно - домен в коде новый, раньше домены вылазили другие и прямо через раз - раз реклама гугл, второй раз левый код. Сейчас пока что это был единственный раз из множетства обновлений сайта F5 или ctrl+F5.
    В браузере осталась бяка? Если и осталась то это еще одна скорее всего. И тут у меня особой надежды нет отследить код...я до сих пор не уверен тут ни в чем, ведь увидеть удалось пока что 1 раз код которого не должно быть.
    Вложения Вложения

  17. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Запрос на повышение прав для администраторов отключен

    Dr.Web Security Space v.9.0.0.12100 - обновите до 10 версии.

    Вчера-сегодня обновлял знакомые сайты где я точно знал была подмена баннеров гугл - все было ок
    В браузере отключите все расширения. Проверьте проблему.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  18. #14
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    Контроль учётных записей пользователя отключен
    Спасибо, включил

    Dr.Web Security Space v.9.0.0.12100 - обновите до 10 версии.
    По некоторым причинам смогу обновиться только в январе.

    В браузере отключите все расширения. Проверьте проблему.
    К сожалению или к счастью присланный вам скриншот пока что единственный, больше левых баннеров пока не видел, поэтому отключать расширения нет смысла.

    Тут опять нарисовалась проблема с почтой на мэйл.ру, сегодня они опять заблокировали мой почтовый ящик с пометкой, что идет рассылка спама, пришлось лпять менять пароли\подтверждать по смс. Вот инфа в почтовом ящике по его использованию:
    mailru.jpg

    Возможно я перенастроил роутер как-то не так? Или на компе остался вирус? Или это глюки почты мэйловцев?
    Кстати роутер настраивать я не спец, сделал скриншоты старых настроек и по ним уже настраивал после аппаратного сброса новые настройки. Там в принципе не очень много изменений. Свои логин\пароль указал, еще на этой картинке по умолчанию помоему стояли другие настройки IP
    7.jpg
    И настройка называлась ipoe_eth2.5_2 а сейчас она называется WAN (была там по умолчанию, только пришлось немного перенастроить в соответствии со старым скрином чтобы инет работал)

    Что делать? Посмотреть понаблюдать еще будут мэйлру блочить ящик или нет? Проверять на вирусы\присылать сюда отчеты? Идти к своему провайдеру чтобы они в офисе настроили роутер? Подскажете здесь на ошибки в настройках? Ваш вариант?

    Вот еще пару скриншотов роутера старых для сверки:
    5.jpg
    6.jpg
    И это новые скрины новых настроек тех же менюшек:
    8-1.jpg
    8-2.jpg
    8-3.jpg

    Само собой, что пароль на роутер стоит уже свой, отличный от стандартного.

    - - - - -Добавлено - - - - -

    За сегодня уже 2 раза разблокировал свой ящик (второй раз 3 минуты назад), рассылка спама пишет мейлру и блочит. Что-то не в порядке в датском королевстве...

  19. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Тут опять нарисовалась проблема с почтой на мэйл.ру, сегодня они опять заблокировали мой почтовый ящик с пометкой, что идет рассылка спама, пришлось лпять менять пароли\подтверждать по смс.
    Это уже с техподдержкой Mail переписывайтесь по логам вирусов у вас не видно. Да и косяк похоже на их стороне.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  20. #16
    Junior Member Репутация
    Регистрация
    01.12.2014
    Сообщений
    12
    Вес репутации
    12
    Это уже с техподдержкой Mail переписывайтесь по логам вирусов у вас не видно. Да и косяк похоже на их стороне.
    Спасибо, сейчас так и делаю. Но ТП у них мягко говоря не очень, могут по неделе не отвечать. Но буду писать.

    Тут остался один еще вопрос (я тут понимаю что уже достал наверно всех нубскими вопросами) - стоит или нет роутер нести спецам провайдера интернета на показ? Или я все сделал правильно и 100% сейчас нет подмен DNS? Спрашиваю, потому что делал настройку сам, без пособий, по скриншотам которые сделал перед аппаратным сбросом роутера (где уже было вмешательство зловредов).
    Или смены пароля на свой в роутере в принципе достаточно для того, чтобы пресечь доступ злоумышленникам, даже если я где-то накосячил в настройках?

  21. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,319
    Вес репутации
    1028
    Или я все сделал правильно и 100% сейчас нет подмен DNS?
    Вы все сделали правильно.

    Или смены пароля на свой в роутере в принципе достаточно для того, чтобы пресечь доступ злоумышленникам
    Этого достаточно.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная комплексная защита на 45 дней => https://goo.gl/1yHAAg

  22. Это понравилось:


Похожие темы

  1. Карантин 48F5B9602B8C97989FBB05F87CCA90DB [Backdoor.Win32.Androm.bgpn, Trojan-Downloader.Win32.Andromeda.aeqo ]
    От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
    Ответов: 2
    Последнее сообщение: 12.02.2017, 06:44
  2. BackDoor.Andromeda.404 в firefox
    От killen в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 27.11.2014, 00:25
  3. Ответов: 30
    Последнее сообщение: 01.02.2014, 20:43
  4. Ответов: 2
    Последнее сообщение: 13.06.2013, 15:58
  5. Ответов: 4
    Последнее сообщение: 14.03.2013, 20:05

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01592 seconds with 17 queries