Удаление toolbar'а из браузера Mozilla Firefox

Уважаемые вирусологи форума!
Недавно у меня произошло заражение браузера Mozilla Firefox toolbar'ом mail.ru Sputnik.
Изначально я думал, что это обычный легальный sputnik, распространяемый почтовым сервисом mail.ru, установившийся на мой компьютер с каким-то таким же легальным программным продуктом в качестве рекламного дополнения. Ведь очень многие популярные программы в процессе инсталляции предлагают установить yandex bar, google bar или этот Спутник в браузер (см. топик Как удалить toolbar "Cпутник mail.ru" из Mozilla Firefox).

Я попробовал найти этот спутник в меню Панель управления -> Установка и удаление программ, но там его не оказалось. Пытался для удаления использовать сторонний продукт - Uninstall Tool, но тоже безуспешно.

И тогда я понял, что данный Sputnik представляет собой какую-то левую, скорее всего хакерскую, фишинговую версию данного тулбара. Естественно как инсталляционный пакет он не ставился и себя в таком качестве в системе не прописывал, так что пытаться деинсталлировать его штатным способом бесполезно.

Есть у меня подозрения на два экзешника, которые могли установить этот тулбар. Во-первых, это мог быть крошечный keygen.exe размером 7,5 кб, во-вторых это мог быть скачанный из Интернета самораспаковывающийся архив с каким-то содержимым (то ли keygen, то ли электронная книга, точно не помню). Архив имел размер порядка 10 мб и в процессе распаковки (где-то на 90%) остановился и попросил у меня SMS-сообщение для дальнейшей распаковки. Я естественно ничего высылать не стал, а файлик стер. Keygen же у меня сохранился, могу заинтересовавшимся людям его выслать, если кто-то из вас смог бы его проанализировать hex-редактором или отладчиком и определить, мог ли он стать причиной заражения Firefox'а данным тулбаром или не мог. Касперский его распознает как вирус, а именно Trojan Downloader.

Что касается самого тулбара, то уверен, что он фишинговый, может по сравнению с оригиналом содержать в своем скрипте какие-то строчки, отсылающие нужную информацию (логины, пароли, адреса посещенных страниц) на сайты хакеров.

Помогите мне его удалить, расскажите, как это сделать.

0

Сообщение от JohnyWalker Keygen же у меня сохранился, могу заинтересовавшимся людям его выслать

Проверьте файл на Virus Total

Сообщение от JohnyWalker Помогите мне его удалить

Выполните
Правила оформления запроса о помощи. Если не будет логов, мы отправим вас в эту тему.

0

I.

Сообщение от shestale Проверьте файл на Virus Total

Четверть вирусных сканеров на virustotal распознали этот keygen.exe как вирус. Большинство дали ему классификацию Trojan Downloader. Не уверен, правда, что именно этот keygen меня заразил.

II.

Выполните Правила оформления запроса о помощи. Если не будет логов, мы отправим вас в эту тему.

Хорошо, постараюсь. Только для начала хотел бы обратить внимание форумчан еще на 2 вещи.

1. Несколько раз Kaspersky сработал на подозрительное действие, выдав следующую пару сообщений:

Неизвестная программа Проактивная защита Обнаружено: PDM.Hidden object C:\DOCUMENTS AND SETTINGS\AAA\LOCAL SETTINGS\TEMP\98FAB05A-A1B55C54-F3CFB9C6-E3F83366\BE670_XP.EXE

Неизвестная программа Проактивная защита Разрешено: PDM.Hidden object C:\DOCUMENTS AND SETTINGS\AAA\LOCAL SETTINGS\TEMP\98FAB05A-A1B55C54-F3CFB9C6-E3F83366\BE670_XP.EXE Действие выбрано в соответствии с параметрами


Когда я полез в каталог C:\DOCUMENTS AND SETTINGS\AAA\LOCAL SETTINGS\TEMP\ ,
то ни папки 98FAB05A-A1B55C54-F3CFB9C6-E3F83366\ ,
ни файла BE670_XP.EXE я в ней не обнаружил, что навело меня на серьезные подозрения.

2. Заметив тулбар, я просканировал систему утилитой AVZ без проверки дисков. Лог я сохранил, он мне тоже показался подозрительным. Я его прикрепляю через вложения.
Мне не понравились следующие сообщения:
Пункт 1.2 лога
Функция NtAllocateVirtualMemory (11) перехвачена (80570BC5->AD0DE2D2), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
Функция NtCreateThread (35) перехвачена (80584D39->AD0DF904), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
Функция NtFreeVirtualMemory (53) перехвачена (805710BF->AD0DE55E), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
Функция NtOpenSection (7D) перехвачена (80579192->AD0DE0F0), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
Функция NtQueueApcThread (B4) перехвачена (8059FC75->AD0DFA0C), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
Функция NtWriteVirtualMemory (115) перехвачена (805875EF->AD0DE66E), перехватчик C:\WINDOWS\system32\drivers\dwprot.sys
и еще несколько подобных, напротив которых не стоит надпись драйвер опознан как безопасный.

И еще вот это сообщение показалось довольно странным
Функция IoAllocateIrp (804EAFBD) - модификация машинного кода. Метод не определен., внедрение с байта 15

И в особенности не понравился пункт 1.5 лога, цитирую его целиком:
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 89F42FB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 88A2CF08 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 893B70B0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8996D8F0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 89C86C48 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 88AF95B8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89CD3CB8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89CF2380 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89ABD598 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8883F770 -> перехватчик не определен
Проверка завершена

Обратите также, пожалуйста, на пункт 7.
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dl l"
Нестандартный ключ Shell\Open для "scrfile": ""%1" /S "%3""
Проверка завершена

Что это за нестандартный ключ Shell\Open для "scrfile": ""%1" /S "%3"", не знаю.

И конечно большое количество перехватчиков системных вызовов ядра кажется очень подозрительным. Может это все и перехватчики, внедренные антивирусом, но не знаю.

Посмотрите, пожалуйста, этот лог, я же постараюсь выполнить вашу инструкцию.

Вложения

avz_log.txt (14.1 Кб, 33 просмотров)

0

Через расширенный режим - управление вложениями выложите 4 файла в соответствии с правилами.

Вам анализировать ничего не нужно

0

Перед сканированием AVZ обновите ее базы!

0

И вот сегодняшний лог avz (см. avz_log1.txt)
Неопознанных перехватчиков стало гораздо меньше, возможно те перехватчики - результат запуска на компьютере cureit (т. е. это перехватчики Dr. Web), но точно не знаю.

Из подозрительных сообщений осталась вот эта пара:

Функция IoAllocateIrp (804EAFBD) - модификация машинного кода. Метод не определен., внедрение с байта 15

Нестандартный ключ Shell\Open для "scrfile": ""%1" /S "%3""

Может еще какие-то угрозы в логе проглядел...

Вложения

avz_log1.txt (13.3 Кб, 16 просмотров)

0

Сообщение от shestale Перед сканированием AVZ обновите ее базы!

AVZ скачал и поставил только вчера.

0

JohnyWalker, ещё раз, потрудитесь прочитать инструкцию как делаются логи, подготовить и выложить их, а с анализом мы как нибудь сами.

Ещё раз не поймете - закрою тему.

0

Уважаемый Katharsis. Логи в полном соответствии с инструкцией я конечно же сделаю. Вас же убедительно прошу воздержаться от необоснованных угроз в мой адрес и неприемлемого тона общения

Ещё раз не поймете - закрою тему.

В противном случае я вынужден буду обратиться к администрации форума в связи с тем, что Вы превышаете свои обязанности как модератор форума и тем самым нарушаете его правила. Я со своей стороны правил форума никоим образом не нарушил. Инструкцию по созданию логов я видел, их создание требует определенного времени. Как только все эти проверки мною будут выполнены и соответствующие логи созданы, я их выложу на форум.

Комментарий модератора

правила форума: 5.3 Запрещено публично обсуждать действия администрации форума, касающиеся их прямых обязанностей. 5.4 Требования администрации форума должны выполняться немедленно и безусловно. 5.5 Администрация форума обладает исключительным правом на оценку действий участников форума, нарушивших настоящие Правила, и применение санкций против них. + вместо выполнений правил раздела - оффтоп и словоблудие. Пока предупреждение.

Добавлено через 25 минут
В таком случае не вижу смысла в продолжении нашей с Вами дискуссии. В Вашей помощи, г-н Katharsis, не нуждаюсь.

0

	Комментарий модератора
	JohnyWalker, Ваша жалоба на действия модератора, присланная мне в ЛС необоснована. Угроз в Ваш адрес не было.

2