Помогите удалить JS/Spy.Banker.BF - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2015

Размещено 20.04.2015 17:26:05

Полное сканирование ничего не находит. События и архив прилагаю.

1998, Eset / Lt008, 2015-04-20 14:26:37 ,
Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura,
JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован,
Обнаружена угроза при попытке доступа в Интернет следующим приложением:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

1999, Eset / Lt008, 2015-04-20 14:29:37 , domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2000, Eset / Lt008, 2015-04-20 14:34:38 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2001, Eset / Lt008, 2015-04-20 14:40:35 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2002, Eset / Lt008, 2015-04-20 14:41:56 , NT AUTHORITY\LOCAL SERVICE, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\svchost.exe.
2003, Eset / Lt008, 2015-04-20 14:45:44 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2004, Eset / Lt008, 2015-04-20 14:51:13 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

Прикрепленные файлы

LT008_2015-04-20_16-46-26.7z (697.85 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.04.2015 17:44:22

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.85.19 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref 0HTTP://SMALLCONFIGS.COM/J4NOOC2AP/5OSV.URA delref HTTP://G.UK.MSN.COM/HPALL/138 delref HTTP://SMALLCONFIGS.COM/J4NOOC2AP/5OSV.URA bl 064ED137309F691D1ED4F508FEA1CFA4 544 delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I1OLMKL.EXE bl 0C2764CDB1B3B5F5F4424BB8E5DF0316 544 delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I39DLE7.EXE bl FE06F6EA081C76B4297B5AE6ED15E976 544 delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I3RMU58.EXE bl DFD317C22278E846CE2391CCEF7F0704 544 delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I9Q0KVG.SYS delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/CLUBPENGUIN/PLAY.ASPX?DP=HPBNB1C11 delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/DARKORBIT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/HABBOHOTEL/PLAY.ASPX?DP=HPBNB1C11&CODE=HP delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/SEAFIGHT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP delref HTTP://REDIRECT.HP.COM/SVS/RDR?C=NONE&BD=ALL&TP=DTICON&PF=CMDT&LOCALE=WW_WW&S=HP_VIRTUALROOM&TYPE=4 delref HTTP:\\REDIRECT.HP.COM\SVS\RDR?LOCALE=RU_WW&C=NONE&BD=ALL&TP=ONLINESVS&S=HUDDLE&PF=CMNB&TYPE=4 deltmp delnfr restart

Код

     

;uVS v3.85.19 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref 0HTTP://SMALLCONFIGS.COM/J4NOOC2AP/5OSV.URA
delref HTTP://G.UK.MSN.COM/HPALL/138
delref HTTP://SMALLCONFIGS.COM/J4NOOC2AP/5OSV.URA
bl 064ED137309F691D1ED4F508FEA1CFA4 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I1OLMKL.EXE
bl 0C2764CDB1B3B5F5F4424BB8E5DF0316 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I39DLE7.EXE
bl FE06F6EA081C76B4297B5AE6ED15E976 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I3RMU58.EXE
bl DFD317C22278E846CE2391CCEF7F0704 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I9Q0KVG.SYS
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/CLUBPENGUIN/PLAY.ASPX?DP=HPBNB1C11
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/DARKORBIT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/HABBOHOTEL/PLAY.ASPX?DP=HPBNB1C11&CODE=HP
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/SEAFIGHT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP
delref HTTP://REDIRECT.HP.COM/SVS/RDR?C=NONE&BD=ALL&TP=DTICON&PF=CMDT&LOCALE=WW_WW&S=HP_VIRTUALROOM&TYPE=4
delref HTTP:\\REDIRECT.HP.COM\SVS\RDR?LOCALE=RU_WW&C=NONE&BD=ALL&TP=ONLINESVS&S=HUDDLE&PF=CMNB&TYPE=4
deltmp
delnfr
restart

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2015

Размещено 20.04.2015 19:02:12

Пока вроде перестал ругаться, завтра еще посмотрим. Спасибо!

Прикрепленные файлы

results.txt (1.19 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 20.04.2015 19:26:36

1) В Malwarebytes - чисто.

--------
2) Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Также рекомендую выполнить: Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.

Отключите все расширения кроме: Flash ( Adobe Systems )
* Если возникнет необходимость потом их можно включить.
Оцените результат.

Изменено: RP55 RP55 - 20.04.2015 19:26:51

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2015

Размещено 21.04.2015 09:51:46

С промежутком ровно в пол часа всё еще ругается, правда теперь только на firefox.
2152, Eset / Lt008, 2015-04-21 08:50:01 ,
domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura,
JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован,
Обнаружена угроза при попытке доступа в Интернет следующим приложением:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

2153, Eset / Lt008, 2015-04-21 08:55:24 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2154, Eset / Lt008, 2015-04-21 09:00:25 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2155, Eset / Lt008, 2015-04-21 09:05:32 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2156, Eset / Lt008, 2015-04-21 09:11:01 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2157, Eset / Lt008, 2015-04-21 09:16:04 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

Все расширения отключил.
лог в АdwСleaner

Прикрепленные файлы

AdwCleaner[R1].txt (2.75 КБ)

Сообщений: 4

Баллов: 2

Регистрация: 20.04.2015

Размещено 21.04.2015 10:53:15

Есть, кстати, письмо, которое виновато во всём этом, там внутри вордовский файл с двумя макросами, но под паролями, что внутри посмотреть не могу(

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.04.2015 11:04:47

добавьте новый образ автозапуска

[ Как создать образ автозапуска? ]

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 21.04.2015 11:16:57

Цитата
Aleksey Mikhalev написал: Есть, кстати, письмо, которое виновато во всём этом, там внутри вордовский файл с двумя макросами, но под паролями, что внутри посмотреть не могу(

Скиньте письмо через форму
http://eset.ua/ru/support/send_virus_sample

Помогите удалить JS/Spy.Banker.BF , JS/Spy.Banker.BF