[решено] поймал triojan.win32.bhodflttab.a

Sandor · Отправлено: **15:57, 08-05-2014** | #2

Соберите логи по этой инструкции.

arcev · Конфигурация компьютера

Cпасибо, ноут рабочий буду заниматься после праздников

arcev · Конфигурация компьютера

выходные прошли
ноут на работе
asus x52n
win7*64pro
4gb ram
каспер13
пока вирус молчит
прикрепляю логи

Sandor · Отправлено: **13:59, 12-05-2014** | #5

1. Пофиксите в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pu-results.info/?pid=708&r=2013/02/27&hid=2856122881&lg=EN&cc=UA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pu-results.info/?pid=708&r=2013/02/27&hid=2856122881&lg=EN&cc=UA
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

2. Подготовьте лог MBAM.

arcev · Конфигурация компьютера

выполнил

зы
в качестве эксперимента перестал заходить удаленно по сети со старой машинки xp sp3
ту машинку проверял CureIT и авз
вопрос:
может также прогнать ее "мбам"

Sandor · Отправлено: **17:42, 14-05-2014** | #7

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Цитата:

Обнаруженные файлы:
C:\Downloads\Архивы\passrec.zip (PUP.PSW.MessenPass) -> Действие не было предпринято.
C:\Downloads\Программы\dexpot_164_r2186.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files (x86)\DU Meter\DUMeter501_crk.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\instal1\Photoshop\48_ADOBEPHOTOSHOPC.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\install\BOX_KTR3.1.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\install\GetData.Recover.My.Files.NOY.rar (Trojan.Downloader) -> Действие не было предпринято.
D:\install\Upgrade_7_Keygen_1.0.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\install\user27.msi (Trojan.Dropper) -> Действие не было предпринято.
D:\install\winamp5601_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\install\Generic Antiwpa-2.1.5-WinXP-2k3\AntiWPA_Crypt.dll (Hacktool) -> Действие не было предпринято.
D:\install\GetData.Recover.My.Files.v3.9.8.6472.Incl.Keygen-NOY\noy\Setup\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\install\Lanagent\user27.msi (Trojan.Dropper) -> Действие не было предпринято.
D:\install\NOD\nod.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Multi Password Recovery 1.1.7 portable + unipatch\HookLib.dll (PUP.Hooker) -> Действие не было предпринято.
D:\Multi Password Recovery 1.1.7 portable + unipatch\mpr.unipatch.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Multi Password Recovery 1.1.7 portable + unipatch\mpr_portable.zip (PUP.Hooker) -> Действие не было предпринято.
D:\загрузки\soft\Design.Science.Mathtype.6.5b.rar (PUP.Keygen.Intro) -> Действие не было предпринято.
D:\загрузки\soft\Design.Science.MathType.v6.5b.Incl.Keymaker-CORE.rar (PUP.Keygen.Intro) -> Действие не было предпринято.
D:\загрузки\soft\EDGE_PLUS_CiM.7z (Trojan.Agent) -> Действие не было предпринято.
D:\загрузки\soft\StaffCop_310_setup.exe (PUP.StaffCop) -> Действие не было предпринято.
D:\загрузки\симб 9\1170071200_mbm_tool.rar (Malware.Packer.Gen) -> Действие не было предпринято.
D:\загрузки\симб 9\HandyProfiles_1.05.zip (Trojan.Downloader) -> Действие не было предпринято.
D:\загрузки\симб 9\LCG_Jukebox.2_17.zip (PUP.Keygen) -> Действие не было предпринято.
D:\загрузки\симб 9\RootSiGN.zip (Hacktool.RootSign) -> Действие не было предпринято.
D:\загрузки\симб 9\signtools2.2.exe (Trojan.Agent.H) -> Действие не было предпринято.
D:\загрузки\симб 9\На 6220\signtools2.2.rar (Trojan.Agent.H) -> Действие не было предпринято.

Повторите лог MBAM.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

arcev · Конфигурация компьютера

оффтоп
много работы только добрался до ноута
логи прикрепил

Sandor · Отправлено: **17:53, 20-05-2014** | #9

Цитата Sandor:

Повторите лог MBAM. »

?

Что с проблемой?

arcev · Конфигурация компьютера

перестал заходить удаленно по сети со старой машинки ХР3
вирус не вылазит
буду тестить старую машинку
лог прикрепляю
если можно продлю эту тему уже по той машинке

зы
много работы
результаты позже