21.01.2011, 11:04 | #1 (ссылка) |
Новичок
Регистрация: 23.05.2010
Сообщений: 38
Репутация: 0
|
Обнаружена программа Trojan-proxy.win32.redbind.аi помогите избавится
Касперский после полной проверки диска обнаружил и удалил эту программу. После я сделала проверку диска и вновь был пойман этот троян, но уже в другой папке и под другим именем. Когда касперский удалял его краем глаза видела сообщение "удалено, создана резервная копия" (что-то в этом духе). Сделала вновь полную проверку, ничего не обнаружено. Помогите. На душе не спокойно, считаю что троян все еще блуждает по просторам моей системы...
Компьютер ни разу с момента заражения не был перезагружен. |
21.01.2011, 11:31 | #2 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Millton, http://pchelpforum.ru/f26/t6442/
|
21.01.2011, 12:51 | #6 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Проверьте этот файл C:\WINDOWS\system32\drivers\AsProbe.sys здесь ССылку на результат запостите здесь
+ Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
21.01.2011, 22:27 | #7 (ссылка) |
Новичок
Регистрация: 23.05.2010
Сообщений: 38
Репутация: 0
|
Malwarebytes' Anti-Malware выдал отчет http://webfile.ru/5070188
Проверьте этот файл C:\WINDOWS\system32\drivers\AsProbe.sys здесь показал: File name: AsProbe.sys Submission date: 2011-01-21 08:58:13 (UTC) Current status: finished Result: 0/ 43 (0.0%) |
22.01.2011, 00:06 | #8 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Millton, удалите HKEY_CLASSES_ROOT\AppID\{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1408E208-2AC1-42D3-9F10-78A5B36E05AC} (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{FBE58CC0-D14B-45FE-A717-57BB8247F652} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{15C7D7AD-A87A-4C0D-9D8B-637FCD3488EF} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\Interface\{4937D5D1-2039-409A-BD83-FEC9B39B2356} (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\BhoNew.Bho.1 (Trojan.FakeAlert) -> No action taken. HKEY_CLASSES_ROOT\BhoNew.Bho (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{FBE58CC0-D14B-45FE-A717-57BB8247F652} (Trojan.FakeAlert) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Aldea (Adware.FieryAds) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken. HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin (Trojan.BHO) -> No action taken. HKEY_CLASSES_ROOT\xvideoplugin.JetVideoPlugin.1 (Trojan.BHO) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Bind (Malware.Trace) -> No action taken. Заражённые параметры в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\host (Malware.Trace) -> Value: host -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\id (Malwa Заражённые папки: c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken. Заражённые файлы: c:\documents and settings\Дима\application data\Aldea\aldeauninstall.exe (Adware.FieryAds) -> No action taken. c:\program files\FieryAds\fieryadsuninstall.exe (Adware.FieryAds) -> No action taken. d:\m program files\total commander\Plugins\arc\Default.sfx (Malware.Packer.Gen) -> No action taken. d:\m program files\total commander\Utils\SFX Tool\Upack.exe (Malware.Packer.Gen) -> No action taken. d:\m program files\adobe illustrator cs3\adobe_illustrator_cs4_rus\adobe.illustrator.cs 4.black.label\adobe.illustrator.cs4.black.label\Cr ack\keygen.exe (Trojan.Dropper.PGen) -> No action taken. d:\m program files\Samsung\util\smsmoved500.exe (Worm.Koobface) -> No action taken. d:\m program files\Samsung\util\smsmovex800.exe (Worm.Koobface) -> No action taken. c:\documents and settings\Дима\application data\fieryads.dat (Adware.FieryAds) -> No action taken. Остальной варезный софто на ваше усмотрение. Баннера не было? |
Ads | |
22.01.2011, 00:21 | #10 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Millton, строки которрые я указал отметте и удалите. Можете перезагрузить. Про баннер почему спросил.Да потому что следы его в системе имеются))
---------- Добавлено в 23:21 ---------- Предыдущее сообщение было написано в 23:19 ---------- Может эл книги скачивали? |
22.01.2011, 00:33 | #11 (ссылка) |
Новичок
Регистрация: 23.05.2010
Сообщений: 38
Репутация: 0
|
Может эл книги скачивали? нет. Зашла на сайт, на котором оказался вредный по. Касперский заругался и не пустил на сайт, но троян все таки пробился.
Сделала перезагрузку системы, баннера ничего нет. Повторить AVZ? Надо бы удостоверится что система очищена полностью |
22.01.2011, 00:36 | #12 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Он сидел притаившись)))
Ваше право Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. + Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. |
22.01.2011, 00:58 | #14 (ссылка) |
Знаток
Регистрация: 13.12.2010
Сообщений: 1,986
Репутация: 152
|
Millton,
Пофиксить в HijackThis следующие строчки Код:
R3 - URLSearchHook: (no name) - {95289393-33EA-4F8D-B952-483415B9C955} - (no file) R3 - URLSearchHook: (no name) - - (no file) |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|