Фишинговая ссылка при запуске "Сбербанк-Бизнес Онлайн"

[yobot]

Есть компьютер Windows XP SP3 с антивирусом Eset Smart Security. При запуске клиент-банка "Сбербанк-Бизнес Онлайн" антивирус блокирует переход по фишинговой ссылке. При обычном веб-серфинге попыток перехода не наблюдается. Как извести зловреда, охотящегося на клиент-банки. Логи сканирования прилагаю . При сканировании был создан автокарантин.

[Info_bot]

Уважаемый(ая) yobot, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('H:\start.exe','');
 QuarantineFile('C:\DOCUME~1\F942~1\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
 DeleteService('ws2_32sik');
 DeleteService('securentm');
 QuarantineFile('C:\WINDOWS\system32\drivers\securentm.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','');
 DeleteService('ksi32sk');
 DeleteService('fips32cup');
 QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ati64si.sys','');
 DeleteService('ati64si');
 DeleteFile('C:\WINDOWS\system32\drivers\ati64si.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\securentm.sys','32');
 DeleteFile('C:\WINDOWS\system32\drivers\ws2_32sik.sys','32');
 DeleteFile('C:\DOCUME~1\F942~1\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам

[yobot]

Карантин выслал. Сделал повторное сканирование. Проблема осталась. Логи прилагаю.

[Vvvyg]

Приведите сообщение о фишинговом сайте из журнала Eset.

[yobot]

Адрес _http://www.superfish.com/ws/sf_main.jsp?dlsource=icprlwa&userId=26d420b0e8c58f 39104f&CTID=s07
заблокирован во внутреннем "черном" списке.
IP: 66.70.34.111

[Vvvyg]

Сделайте лог AdwCleaner (by Xplode).

[yobot]

Лог AdwCleaner

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Scan, по окончании сканирования уберите галочки на вкладках Folders и Registry со всех пунктов, где упоминаются Mail.Ru если используете соответствующие программы.

Затем нажмите Cleaning и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению (можно все в одном архиве).

[yobot]

Указания выполнил. Логи прилагаю.

[Vvvyg]

В каком браузере открываете "Сбербанк-Бизнес Онлайн" - IE или FF?

Ссылка, кстати,просто рекламная, ничего опасного.

[yobot]

Настроено на открытие в FF

- - - - -Добавлено - - - - -

Просто напрягает постоянная ругань антивируса.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\...\Run: [] => [X]
FF Extension: BargainJoy - C:\Documents and Settings\Сергей\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{74fa6b20-2ae6-4584-a4fd-4ac734f8d210} [2013-09-16]
FF Plugin HKU\S-1-5-21-1606980848-1682526488-839522115-1003: opencandy.com/Ignite -> C:\Documents and Settings\Сергей\Local Settings\Application Data\Ignite\npOCDM.1.1.4.0.dll No File
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы FireFox и сообщите, что с проблемой.

[yobot]

Рекомендации выполнил. Логи прилагаю. Проблема решена. тему можно закрывать.

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Обновите Java 8 Update 31 до 40-го билда.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены