|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] хелп с троянской программой |
|
[решено] хелп с троянской программой
|
Новый участник Сообщения: 2 |
Профиль | Сайт | Отправить PM | Цитировать
антивирус Nod 32 пишет:
Обнаружена угроза в памяти объект: оперативная память=explorer.exe (148) угроза: модифицированный win32/trojandownloader.carberp.ad троянская программа информация: очистка невозможна. Компьютер стал ооочень тормозить, chrome не работает. и я чайник в этом всем поэтому объясните пожалуйста что да как наиболее подробно |
|
Отправлено: 05:36, 14-04-2012 |
Пользователь Сообщения: 110
|
Профиль | Отправить PM | Цитировать татьяна_пономарева@vk, Combofix запускали? Приложите отчёт
а также запакуйте папку и отправьте на quarantine <at> safezone.cc (at=@) с указанием ссылки на тему в теме (заголовке) сообщения. 1. Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\aadrive32.exe',''); QuarantineFile('C:\WINDOWS\system32\01.tmp',''); QuarantineFile('C:\Documents and Settings\User\Избранное\Главное меню\Программы\Автозагрузка\mXlwo0QHUnQ.exe',''); QuarantineFile('C:\Documents and Settings\User\Application Data\Pnzuzj.exe',''); QuarantineFile('C:\WINDOWS\msdownld.tmp',''); QuarantineFileF('C:\Documents and Settings\User\Application Data\MicroST', '*.*', false, '', 0, 0); DeleteFile('C:\WINDOWS\msdownld.tmp'); DeleteFile('C:\Documents and Settings\User\Application Data\Pnzuzj.exe'); DeleteFile('C:\Documents and Settings\User\Избранное\Главное меню\Программы\Автозагрузка\mXlwo0QHUnQ.exe'); DeleteFile('C:\WINDOWS\system32\01.tmp'); DeleteFile('C:\WINDOWS\aadrive32.exe'); DeleteFileMask('C:\WINDOWS\system32','*.tmp',false); DeleteFileMask('C:\Documents and Settings\User\Application Data\MicroST', '*.*', true); DeleteDirectory('C:\Documents and Settings\User\Application Data\MicroST'); if MessageDlg('Отключить автозапуск со всех носителей кроме компакт-дисков?', mtInformation, mbYes+mbNo, 0) = 6 then RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policie s\Explorer','NoDriveTypeAutoRun','221'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. 2. Пофиксите в HJT: R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O4 - Startup: mXlwo0QHUnQ.exe 3.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. 4.Также подготовьте лог SecurityCheck by screen317: Скачайте SecurityCheck by screen317 или с зеркала и сохраните утилиту на Рабочем столе. Запустите программу, после появления консоли нажмите любую клавишу для начала сканирования. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Дождитесь завершения сканирования и формирования лога. Запостите содержимое лога утилиты в той теме, где вам оказывается помощь. !!!Внимание _____________________ Если увидите предупреждение от вашего фаервола, то разрешите SecurityCheck доступ в сеть. 5.
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt Смените все пароли!!! Сделайте повторные логи (стандартный скрипт №2) AVZ и RSIT. |
Отправлено: 11:16, 14-04-2012 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 2
|
Профиль | Сайт | Отправить PM | Цитировать вроде все собрала
|
Отправлено: 06:46, 15-04-2012 | #3 |
Пользователь Сообщения: 110
|
Профиль | Отправить PM | Цитировать Цитата:
- Обновите Adobe Reader до актуальной версии - Обновите Adobe Flash Player до актуальной версии - Скачайте и установите Internet Explorer 8(даже если им не пользуетесь) Также следует обновить базы ваше антивируса. Цитата татьяна_пономарева@vk:
Цитата Warrior Kratos:
Цитата Warrior Kratos:
Цитата:
|
|||||
Отправлено: 10:42, 15-04-2012 | #4 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Хелп! | Shrieck | Общий по Linux | 9 | 23-09-2006 18:40 | |
нужен хелп........ | NIGHT_ANGEL | Хочу все знать | 6 | 16-03-2005 16:57 | |
Хелп ми | Protsko | Общий по FreeBSD | 7 | 21-04-2004 02:10 | |
ХЕЛП!!! | Guest | Хочу все знать | 6 | 15-01-2002 00:23 |
|