троян отправляет мои данные

[papaniy10]

помогите пожалуйста как удалить троян с компа...этот троян отправляет мои логины и пароли кому то на почту что в итоге ломают все возможное...http://forum.xakep.ru/m_2443234/mpage_1/key_/tm.htm#2444533.....тут расписано про этот троян как ним ломать а как его удалить подскажите пожалуйста...этим трояном украли у иеня уже аську

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 24 июня, 2011 пользователем papaniy10

[Urotsuki]

papaniy10, добро пожаловать на форум!

Выполните правила этого раздела, чтобы вам смогли помочь - http://forum.kasperskyclub.ru/index.php?sh...ost&p=17368

[papaniy10]

Urotsuki, добавил логи

[zirreX]

Выполните скрипт в AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт ->

 

Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
StopService('VirtualDK');
QuarantineFile('C:\Program Files\RelevantKnowledge\rlls.dll','');
QuarantineFile('c:\program files\relevantknowledge\rlvknlg.exe','');
QuarantineFile('c:\program files\relevantknowledge\rlservice.exe','');
QuarantineFile('C:\Users\Саша\Desktop\usb_prep8\vdk.sys','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet 
Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet 
Settings\Zones\3\', '1001', 1);   
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится!

 

После перезагрузки выполните такой скрипт:

 

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный

скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите свой электронный адрес.

Полученный ответ сообщите в этой теме.

 

Вы прописали прокси?

ProxyServer = 123.11.25.25:8080

 

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[papaniy10]

zirreX, а я уже папку RelevantKnowledge вручную удалил..это же он был? а usb_prep8 это драйвера для кабеля я качал не с левого сайта

[zirreX]

это же он был?

Скажем так, это я и хотел узнать, взяв эти файлы на анализ.

 

Прокси вы прописали?

 

Подготовьте лог MBAM.

Изменено 24 июня, 2011 пользователем zirreX

[papaniy10]

zirreX, а где надо прокси прописать?

[zirreX]

papaniy10, я спросил вы прописали этот прокси?

ProxyServer = 123.11.25.25:8080

 

Если нет, то пофиксите строку в hijackthis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 123.11.25.25:8080

[papaniy10]

zirreX, этот прокси я прописал и поставил сканировать MBAM..и на другов виндовсе на этом же компе нашел запущенный неизвестны процесс..его AVZ не нашел и не каких других угроз тоже не нашел...я удалил этот процесс и вот выложил в архиве...как про сканирует выложу лог

WinSys2.rar

Изменено 24 июня, 2011 пользователем papaniy10

[zirreX]

Для лечения второй системы создайте новую тему и сделайте логи по правилам раздела

[papaniy10]

zirreX, вот лог MBAM

mbam_log_2011_06_24__22_16_32_.txt

[zirreX]

Удалить в MBAM следующие объекты:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken.

Зараженные папки:
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge (Spyware.MarketScore) -> No action taken.

Зараженные файлы:
e:\documents and settings\Admin\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken.
e:\documents and settings\Admin\application data\Toolbars\eBay\tbhelper.dll (Trojan.BHO) -> No action taken.
e:\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\about relevantknowledge.lnk (Spyware.MarketScore) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\privacy policy and user license agreement.lnk (Spyware.MarketScore) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\Support.lnk (Spyware.MarketScore) -> No action taken.
c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\uninstall instructions.lnk (Spyware.MarketScore) -> No action taken.

 

Кейгены и патчи на ваше усмотрение.

 

Проверьте на www.virustotal.com и дайте ссылку на результат проверки.

c:\Windows\write.exe

[papaniy10]

zirreX, файлы удалил вот ссылка но проверенный c:\Windows\write.exe

 

 

http://www.virustotal.com/file-scan/report...f746-1308984294

[zirreX]

Что с проблемой?

[papaniy10]

zirreX, я не знаю как узнать остался он у меня или нет((((((