Форум esetnod32.ru [тема: Помогите удалить JS/Spy.Banker.BF] http://forum.esetnod32.ru Новое в теме Помогите удалить JS/Spy.Banker.BF форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 16:53:16 +0300 Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Aleksey Mikhalev написал:
Есть, кстати, письмо, которое виновато во всём этом, там внутри вордовский файл с двумя макросами, но под паролями, что внутри посмотреть не могу(
=============

Скиньте письмо через форму
http://eset.ua/ru/support/send_virus_sample
21.04.2015 11:16:57, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84546/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84546/ Tue, 21 Apr 2015 11:16:57 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте новый образ автозапуска
21.04.2015 11:04:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84544/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84544/ Tue, 21 Apr 2015 11:04:47 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Есть, кстати, письмо, которое виновато во всём этом, там внутри вордовский файл с двумя макросами, но под паролями, что внутри посмотреть не могу(  
21.04.2015 10:53:15, Aleksey Mikhalev.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84542/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84542/ Tue, 21 Apr 2015 10:53:15 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
С промежутком ровно в пол часа всё еще ругается, правда теперь только на firefox.
2152, Eset / Lt008, 2015-04-21 08:50:01 ,
domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura,
JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован,
Обнаружена угроза при попытке доступа в Интернет следующим приложением:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

2153, Eset / Lt008, 2015-04-21 08:55:24 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2154, Eset / Lt008, 2015-04-21 09:00:25 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2155, Eset / Lt008, 2015-04-21 09:05:32 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2156, Eset / Lt008, 2015-04-21 09:11:01 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2157, Eset / Lt008, 2015-04-21 09:16:04 , domain\username, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

Все расширения отключил.
лог в АdwСleaner
AdwCleaner[R1].txt
21.04.2015 09:51:46, Aleksey Mikhalev.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84538/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84538/ Tue, 21 Apr 2015 09:51:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) В Malwarebytes - чисто.


--------
2) Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Также рекомендую выполнить: Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:  
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.


Отключите все расширения кроме: Flash  ( Adobe Systems )
* Если возникнет необходимость потом их можно включить.
Оцените результат.
20.04.2015 19:26:36, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84534/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84534/ Mon, 20 Apr 2015 19:26:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пока вроде перестал ругаться, завтра еще посмотрим. Спасибо!
results.txt
20.04.2015 19:02:12, Aleksey Mikhalev.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84533/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84533/ Mon, 20 Apr 2015 19:02:12 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
====code==== 
     

;uVS v3.85.19 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref 0HTTP://SMALLCONFIGS.COM/J4NOOC2AP/5OSV.URA
delref HTTP://G.UK.MSN.COM/HPALL/138
delref HTTP://SMALLCONFIGS.COM/J4NOOC2AP/5OSV.URA
bl 064ED137309F691D1ED4F508FEA1CFA4 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I1OLMKL.EXE
bl 0C2764CDB1B3B5F5F4424BB8E5DF0316 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I39DLE7.EXE
bl FE06F6EA081C76B4297B5AE6ED15E976 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I3RMU58.EXE
bl DFD317C22278E846CE2391CCEF7F0704 544
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2533831731-3608985308-2958273016-2833\$I9Q0KVG.SYS
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/CLUBPENGUIN/PLAY.ASPX?DP=HPBNB1C11
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/DARKORBIT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/HABBOHOTEL/PLAY.ASPX?DP=HPBNB1C11&CODE=HP
delref HTTP://RDR.WILDTANGENT.COM/PRODUCT/SEAFIGHT/PLAY.ASPX?DP=HPBNB1C11&BRAND=HP
delref HTTP://REDIRECT.HP.COM/SVS/RDR?C=NONE&BD=ALL&TP=DTICON&PF=CMDT&LOCALE=WW_WW&S=HP_VIRTUALROOM&TYPE=4
delref HTTP:\\REDIRECT.HP.COM\SVS\RDR?LOCALE=RU_WW&C=NONE&BD=ALL&TP=ONLINESVS&S=HUDDLE&PF=CMNB&TYPE=4
deltmp
delnfr
restart
=============

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
20.04.2015 17:44:22, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84532/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84532/ Mon, 20 Apr 2015 17:44:22 +0300 Обнаружение вредоносного кода и ложные срабатывания Помогите удалить JS/Spy.Banker.BF Помогите удалить JS/Spy.Banker.BF JS/Spy.Banker.BF в форуме Обнаружение вредоносного кода и ложные срабатывания.
Полное сканирование ничего не находит. События и архив прилагаю.

1998, Eset / Lt008, 2015-04-20 14:26:37 ,
Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura,
JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован,
Обнаружена угроза при попытке доступа в Интернет следующим приложением:
C:\Program Files (x86)\Mozilla Firefox\firefox.exe.

1999, Eset / Lt008, 2015-04-20 14:29:37 , domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2000, Eset / Lt008, 2015-04-20 14:34:38 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2001, Eset / Lt008, 2015-04-20 14:40:35 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2002, Eset / Lt008, 2015-04-20 14:41:56 , NT AUTHORITY\LOCAL SERVICE, Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\svchost.exe.
2003, Eset / Lt008, 2015-04-20 14:45:44 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
2004, Eset / Lt008, 2015-04-20 14:51:13 ,domain\username , Фильтр HTTP, Предупреждение, файл, http://smallconfigs.com/J4Nooc2ap/5Osv.ura, JS/Spy.Banker.BF троянская программа, соединение прервано - изолирован, Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Mozilla Firefox\firefox.exe.
LT008_2015-04-20_16-46-26.7z
20.04.2015 17:26:05, Aleksey Mikhalev.]]> http://forum.esetnod32.ru/messages/forum6/topic11926/message84531/ http://forum.esetnod32.ru/messages/forum6/topic11926/message84531/ Mon, 20 Apr 2015 17:26:05 +0300 Обнаружение вредоносного кода и ложные срабатывания