papaniy10 Опубликовано 23 июня, 2011 Опубликовано 23 июня, 2011 (изменено) помогите пожалуйста как удалить троян с компа...этот троян отправляет мои логины и пароли кому то на почту что в итоге ломают все возможное...http://forum.xakep.ru/m_2443234/mpage_1/key_/tm.htm#2444533.....тут расписано про этот троян как ним ломать а как его удалить подскажите пожалуйста...этим трояном украли у иеня уже аську hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 24 июня, 2011 пользователем papaniy10
Urotsuki Опубликовано 24 июня, 2011 Опубликовано 24 июня, 2011 papaniy10, добро пожаловать на форум! Выполните правила этого раздела, чтобы вам смогли помочь - http://forum.kasperskyclub.ru/index.php?sh...ost&p=17368
zirreX Опубликовано 24 июня, 2011 Опубликовано 24 июня, 2011 Выполните скрипт в AVZ AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearQuarantine; StopService('VirtualDK'); QuarantineFile('C:\Program Files\RelevantKnowledge\rlls.dll',''); QuarantineFile('c:\program files\relevantknowledge\rlvknlg.exe',''); QuarantineFile('c:\program files\relevantknowledge\rlservice.exe',''); QuarantineFile('C:\Users\Саша\Desktop\usb_prep8\vdk.sys',''); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните такой скрипт: AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте файл quarantine.zip через данную форму или через личный кабинет, при условии, что вы являетесь пользователем продуктов Лаборатории Касперского.В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите в этой теме. Вы прописали прокси? ProxyServer = 123.11.25.25:8080 • Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
papaniy10 Опубликовано 24 июня, 2011 Автор Опубликовано 24 июня, 2011 zirreX, а я уже папку RelevantKnowledge вручную удалил..это же он был? а usb_prep8 это драйвера для кабеля я качал не с левого сайта
zirreX Опубликовано 24 июня, 2011 Опубликовано 24 июня, 2011 (изменено) это же он был? Скажем так, это я и хотел узнать, взяв эти файлы на анализ. Прокси вы прописали? Подготовьте лог MBAM. Изменено 24 июня, 2011 пользователем zirreX
papaniy10 Опубликовано 24 июня, 2011 Автор Опубликовано 24 июня, 2011 zirreX, а где надо прокси прописать?
zirreX Опубликовано 24 июня, 2011 Опубликовано 24 июня, 2011 papaniy10, я спросил вы прописали этот прокси? ProxyServer = 123.11.25.25:8080 Если нет, то пофиксите строку в hijackthis: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 123.11.25.25:8080
papaniy10 Опубликовано 24 июня, 2011 Автор Опубликовано 24 июня, 2011 (изменено) zirreX, этот прокси я прописал и поставил сканировать MBAM..и на другов виндовсе на этом же компе нашел запущенный неизвестны процесс..его AVZ не нашел и не каких других угроз тоже не нашел...я удалил этот процесс и вот выложил в архиве...как про сканирует выложу лог WinSys2.rar Изменено 24 июня, 2011 пользователем papaniy10
zirreX Опубликовано 24 июня, 2011 Опубликовано 24 июня, 2011 Для лечения второй системы создайте новую тему и сделайте логи по правилам раздела
papaniy10 Опубликовано 24 июня, 2011 Автор Опубликовано 24 июня, 2011 zirreX, вот лог MBAM mbam_log_2011_06_24__22_16_32_.txt
zirreX Опубликовано 24 июня, 2011 Опубликовано 24 июня, 2011 Удалить в MBAM следующие объекты: Зараженные ключи в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (Adware.RelevantKnowledge) -> No action taken. Зараженные папки: c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge (Spyware.MarketScore) -> No action taken. Зараженные файлы: e:\documents and settings\Admin\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> No action taken. e:\documents and settings\Admin\application data\Toolbars\eBay\tbhelper.dll (Trojan.BHO) -> No action taken. e:\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> No action taken. c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\about relevantknowledge.lnk (Spyware.MarketScore) -> No action taken. c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\privacy policy and user license agreement.lnk (Spyware.MarketScore) -> No action taken. c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\Support.lnk (Spyware.MarketScore) -> No action taken. c:\programdata\microsoft\Windows\start menu\Programs\relevantknowledge\uninstall instructions.lnk (Spyware.MarketScore) -> No action taken. Кейгены и патчи на ваше усмотрение. Проверьте на www.virustotal.com и дайте ссылку на результат проверки. c:\Windows\write.exe
papaniy10 Опубликовано 25 июня, 2011 Автор Опубликовано 25 июня, 2011 zirreX, файлы удалил вот ссылка но проверенный c:\Windows\write.exe http://www.virustotal.com/file-scan/report...f746-1308984294
papaniy10 Опубликовано 25 июня, 2011 Автор Опубликовано 25 июня, 2011 zirreX, я не знаю как узнать остался он у меня или нет((((((
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти