Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подозреваю наличие трояна (http://forum.oszone.net/showthread.php?t=226485)

Silumin 28-01-2012 19:45 1846399
Подозреваю наличие трояна
 
Вложений: 2
Поменял антивирус с COMODO на Nod32
Первый напропускал Trojan.Carberp
Прошелся Cureit'ом вроде убило
Сейчас Nod ругается Produkey, Readme.exe, чего-то в SystemVolumeInformation нашлось.
Ребят посмотрите логи.

alex_sev 28-01-2012 19:56 1846408
Сейчас погляжу))

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', false, '', 0, 0);
 QuarantineFile('C:\WINDOWS\system32\94.tmp','');
 DeleteFile('C:\WINDOWS\system32\94.tmp');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\netprotocol.exe');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Netprotocol');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Сделайте повторные логи AVZ и RSIT

Silumin 28-01-2012 21:24 1846472
Вложений: 3
Вот сделал новые логи
Ещё вопрос Malwarebytes' Anti-Malware у меня всегда теперь в трее будет?
Есть ли польза и сработаются ли они с Nod32 ?

Silumin 28-01-2012 21:27 1846473
Вложений: 3
а логи где??

alex_sev 28-01-2012 21:29 1846477
Выполните еще такой скрипт в AVZ

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('ahowkkfh.sys');
 BC_DeleteFile('ahowkkfh.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Как самочувствие системы?

Silumin 28-01-2012 21:40 1846495
В целом нормально спасибо за участие.
Яндекс поиск тока не работает. Всё остальное на этом сайте работает, набираешь в строке поиска слово выпадают подсказки , нажимаешь поиск тишина(будто нажал ESC а не поиск)
И на счет Malwarebytes' Anti-Malware проясните (он систему не грузит?)

alex_sev 28-01-2012 21:46 1846508
MBAM - деинсталлируйте - фолсов очень много

+

выполните рекомендации

Silumin 28-01-2012 22:19 1846557
спасибо за помощь. пока всё .

alex_sev 28-01-2012 22:23 1846561
Trojan.Carberp - ворует пароли, имейте это ввиду

Silumin 28-01-2012 23:05 1846603
спасибо . сижу меняю
вопрос : он ворует когда я отсылаю на сайт логин и пароль или из файлов системы достаёт ?
сегодня из процессов выловил бяку, чем сканировал не помню. Подскажите сканер для процессов.

alex_sev 28-01-2012 23:21 1846614
к сожалению живой не попадался мне лично, а искать сейчас лень, но разницы не вижу - и то и другое не сложно делается.

KillSwitch из пакета Comodo Cleaning Essentials попробуйте.

https://forums.comodo.com/news-annou...-t79476.0.html


Время: 16:44.

Время: 16:44.
© OSzone.net 2001-