-
Junior Member
- Вес репутации
- 60
Фишинговая ссылка при запуске "Сбербанк-Бизнес Онлайн"
Есть компьютер Windows XP SP3 с антивирусом Eset Smart Security. При запуске клиент-банка "Сбербанк-Бизнес Онлайн" антивирус блокирует переход по фишинговой ссылке. При обычном веб-серфинге попыток перехода не наблюдается. Как извести зловреда, охотящегося на клиент-банки. Логи сканирования прилагаю . При сканировании был создан автокарантин.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) yobot, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('H:\start.exe','');
QuarantineFile('C:\DOCUME~1\F942~1\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
DeleteService('ws2_32sik');
DeleteService('securentm');
QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
DeleteService('ksi32sk');
DeleteService('fips32cup');
QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
DeleteService('ati64si');
DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys','32');
DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','32');
DeleteFile('C:\DOCUME~1\F942~1\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин выслал. Сделал повторное сканирование. Проблема осталась. Логи прилагаю.
-
Приведите сообщение о фишинговом сайте из журнала Eset.
-
-
Junior Member
- Вес репутации
- 60
Адрес _http://www.superfish.com/ws/sf_main.jsp?dlsource=icprlwa&userId=26d420b0e8c58f 39104f&CTID=s07
заблокирован во внутреннем "черном" списке.
IP: 66.70.34.111
-
-
-
Junior Member
- Вес репутации
- 60
-
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Scan, по окончании сканирования уберите галочки на вкладках Folders и Registry со всех пунктов, где упоминаются Mail.Ru если используете соответствующие программы.
Затем нажмите Cleaning и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).
-
-
Junior Member
- Вес репутации
- 60
Указания выполнил. Логи прилагаю.
-
В каком браузере открываете "Сбербанк-Бизнес Онлайн" - IE или FF?
Ссылка, кстати,просто рекламная, ничего опасного.
-
-
Junior Member
- Вес репутации
- 60
Настроено на открытие в FF
- - - - -Добавлено - - - - -
Просто напрягает постоянная ругань антивируса.
-
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
FF Extension: BargainJoy - C:\Documents and Settings\Сергей\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{74fa6b20-2ae6-4584-a4fd-4ac734f8d210} [2013-09-16]
FF Plugin HKU\S-1-5-21-1606980848-1682526488-839522115-1003: opencandy.com/Ignite -> C:\Documents and Settings\Сергей\Local Settings\Application Data\Ignite\npOCDM.1.1.4.0.dll No File
EmptyTemp:
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы FireFox и сообщите, что с проблемой.
-
-
Junior Member
- Вес репутации
- 60
Рекомендации выполнил. Логи прилагаю. Проблема решена. тему можно закрывать.
-
Удалите папку C:\FRST со всем содержимым.
Обновите Java 8 Update 31 до 40-го билда.
Выполните рекомендации после лечения.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-