Троян

[chelsky]

Добрый день!не могу уничтожить ТРОЯН .

захожу по разным ссылкам,пишет следующее :

 

Запрашиваемый URL-адрес не может быть предоставлен

 

URL-адрес:

 

Заблокирован Веб-Антивирусом

 

Причина: фишинговая ссылка

 

 

и так многие сайты,Касперский(kis10)не видит ничего!другие программы по поиску Трояна успеха не дали....

находят что-то,вроде бы лечат,удаляют,а толку нет...

Строгое предупреждение от модератора Mark D. Pearlstone

Не выкладывайте вредоносные ссылки. Удалено.

[Roman_Five]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

внимательно прочтите и не спеша выполните.

[chelsky]

вот что получилось

avz_sysinfo.xml

hijackthis.log

[Roman_Five]

вот что получилось

 

плохо получилось. недостаточно внимательно читали правила.

не хватает 2-х отчётов AVZ в zip архивах

virusinfo_syscheck.zip, virusinfo_syscure.zip

[chelsky]

точно..

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Tiare]

Касперский(kis10)не видит ничего!

 

Здравствуйте, судя по логам у вас установлен C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe... Перейти на более новую версию продукта нет желания?

 

Уточните, в чем у вас проблема? Кроме того, что веб-антивирус блокирует подозрительные ссылки на сайты (вообще то он это и должен делать )

 

 

Проверьте эти файлы на virustotal

 

C:\Program Files\Anti Trojan Elite\ATEPMon.sys
C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

 

Ссылки на результаты приложите к следующему сообщению

Изменено 5 апреля, 2011 пользователем Tiare

[Roman_Five]

+ к предыдущему посту

 

захожу по разным ссылкам,пишет следующее :

в каком браузере? проверьте во всех (FF , IE, etc)

 

Деинсталлируйте избыточное защитное ПО:

- Spyware Process Detector

- Anti Trojan Elite

- SUPERAntiSpyware

 

Зачем Вам 2 версии тимвьювьера (5 и 6)? Оставьте одну. вторую деинсталлируйте.

 

Пофиксите в HijackThis (некоторых строк после деинсталляции выше названного ПО может уже не быть):

O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [spyprodetector] C:\Program Files\Spyware Process Detector\spydetector.exe TRAY
O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
QuarantineFile('C:\Program Files\DAEMON Tools Lite\daemon.dll','');
QuarantineFile('C:\WINDOWS\system32\shdoclc.dll','');
QuarantineFile('C:\WINDOWS\system32\themeui.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
ExecuteSysClean;
BC_QrFile('C:\WINDOWS\System32\Drivers\sptd.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys');
BC_QrFile('C:\Program Files\DAEMON Tools Lite\daemon.dll');
BC_QrFile('C:\WINDOWS\system32\shdoclc.dll');
BC_QrFile('C:\WINDOWS\system32\themeui.dll');
BC_QrFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys');
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Изменено 5 апреля, 2011 пользователем Roman_Five

[chelsky]

Здравствуйте, судя по логам у вас установлен C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe... Перейти на более новую версию продукта нет желания?

 

Уточните, в чем у вас проблема? Кроме того, что веб-антивирус блокирует подозрительные ссылки на сайты (вообще то он это и должен делать )

 

Вообще-то блочет от мейла до яндекса

 

Ошибка скрипта: Too many actual parameters, позиция [12:10]

[Roman_Five]

Ошибка скрипта: Too many actual parameters, позиция [12:10]

сори. простые кавычки не убрал.

поправил.

[chelsky]

вот

mbam_log_2011_04_06__01_09_06_.txt

[Roman_Five]

вот

 

внимательнее, пожалуйста. от Вас требовалось ещё:

Проверьте эти файлы на virustotal

Ссылки на результаты приложите

в каком браузере? проверьте во всех (FF , IE, etc)

Оставьте одну. вторую деинсталлируйте.

Полученный ответ сообщите в этой теме.

 

Деинсталлируйте избыточное защитное ПО:

 

В MBAM удалите:

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\spydetector (Rogue.SpywareProcessDetector) -> No action taken.

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Заражённые файлы:
c:\WINDOWS\Temp\Upd7BC.tmp (Riskware.Tool.CK) -> No action taken.
d:\system volume information\_restore{1549f47f-f828-4eb0-9bcc-d9e2b8790229}\RP1\A0006558.dll (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{1549f47f-f828-4eb0-9bcc-d9e2b8790229}\RP1\A0006569.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{57abbc2b-f78d-4ba8-a87f-71323db8dca2}\RP131\A0048195.exe (RiskWare.Tool.CK) -> No action taken.
d:\system volume information\_restore{57abbc2b-f78d-4ba8-a87f-71323db8dca2}\RP131\A0048324.exe (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{57abbc2b-f78d-4ba8-a87f-71323db8dca2}\RP132\A0048420.exe (Malware.Packer.Gen) -> No action taken.

 

Файлы

c:\documents and settings\Lucky\мои документы\my roboform data\default profile\rf6lic.exe (RiskWare.Tool.CK) -> No action taken.
c:\program files\Sony\sound forge 9.0\fileio plug-ins\rm9plug\codecs\atrc.dll (Trojan.Hiloti) -> No action taken.

проверьте на virustotal.com

ссылки на результаты приложите.

[vv00dy]

Извините что вклинюсь в вашу беседу, но мне кажется ситуацию следующим вопросом не решить, если я правильно понял о чем идет речь.

просто поиск по гуглу на мою проблему мне выдал ваш разговор тут

 

Троян - Форум фан-клуба Лаборатории Касперского

Сообщений: 2 - Авторов: 2 - Последнее сообщение: 22 ч. назад

http://****.net/7/?w=328. Заблокирован Веб-Антивирусом Причина: фишинговая ссылка и так многие сайты,Касперский(kis10)не видит ничего!другие ...

forum.kasperskyclub.ru › ... › Помощь › Уничтожение вирусов

 

Так вот, у меня на домашнем компьютере практически те же проблемы, при входе на некоторые страницы, меня автоматом редиректит на страницу ***.net

сама страница правда не загружается, но суть не меняется.

 

у меня стоит антивирус касперский, WS, обновляется регулярно.

Но на рабочей станции вирусов нет.

проверка осуществлялась и касперским и дрвебом куррент.

но проблема наблюдается не только на компьютере.

так вот к чему все это я, у меня стоит роутер с вайфаем.

 

Я пытаюсь зайти на некоторые сайты с планшетника Ipad, и меня на планшете опять таки некоторые сайты редиректит на ***.net

вот тут вот скорее ответ на вопрос нужно искать.

так как сами понимаете трояны типа спая на планшете под системой мак не смогут сидеть.

а значит вообще троян ли это, и найдети ле вы вообще ответ на свой вопрос шерстя компьютер.

 

у топикстартера интересно стоит роутер, или идет просто прямой хобот в компьютер.

какой провайдер ?

у меня наблюдаются последнее время очень большие проблемы на провайдере корбина.

Строгое предупреждение от модератора Mark D. Pearlstone

Не выкладывайте вредоносные ссылки. Удалено.

[Roman_Five]

при входе на некоторые страницы, меня автоматом редиректит на страницу spy4.net

не на все?

у меня стоит роутер с вайфаем.

а какие DNS на нём прописаны?

 

vv00dy

chelsky

 

покажите результат выполнения команды ipconfig /all в консоли (пуск - выполнить - cmd)

Изменено 6 апреля, 2011 пользователем Roman_Five

[chelsky]

у топикстартера интересно стоит роутер, или идет просто прямой хобот в компьютер.

какой провайдер ?

у меня наблюдаются последнее время очень большие проблемы на провайдере корбина.

Не выкладывайте вредоносные ссылки. Удалено.

да, у нас есть роутер, к нему коннектится ноут,на ноуте такие же проблемы. провайдер тоже бывшая корбина ака билайн. никакие проверки на вирусы ничего не решают, все тот же редирект

 

 

не на все?

 

а какие DNS на нём прописаны?

 

vv00dy

chelsky

 

покажите результат выполнения команды ipconfig /all в консоли (пуск - выполнить - cmd)

 

нет, не на все. например на сайт Из рук в руки редирект.

 

DNS-серверы. . . . . . . . . . . : 46.252.131.35

192.168.1.1

Изменено 6 апреля, 2011 пользователем chelsky

[Roman_Five]

пропишите вручную DNS 8.8.8.8

подключение - свойства - протокол TCP|IP 4 - свойства - использовать следующие адреса DNS - предпочитаемый DNS - 8.8.8.8

 

 

после этого проверьте проблему.