Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Троянский конь Startpage.RYH c:\Windows\explorer.exe (заявка № 132920)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41

    Троянский конь Startpage.RYH c:\Windows\explorer.exe

    На тачке ключи сертификаты, ЭЦП и т.д. Вылазит от антивируса постоянная штука Троянский конь Startpage.RYH c:\Windows\explorer.exe

    Логи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Oleg Kolesnikov, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Выполните скрипт в AVZ (как выполнить):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\Windows\system32\qmgr.dll','');
     DelBHO('{1392b8d2-5c05-419f-a8f6-b9f15a596612}');
     DelBHO('{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}');
     QuarantineFile('C:\Users\Администратор\0.048515661620812556.exe','');
     QuarantineFile('C:\Windows\system32\misvzkg.dll','');
     DeleteFile('C:\Windows\system32\misvzkg.dll');
     DeleteFile('C:\Users\Администратор\0.048515661620812556.exe');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('SCU',2,2,true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки выполните скрипт в AVZ:
    Код:
     begin
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     end.
    Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы "Прислать запрошенный карантин".

    Обновите базы AVZ.
    Если базы не обновляются через меню Файл - Обновление баз,
    скачайте архив баз http://z-oleg.com/secur/avz_up/avzbase.zip
    и распакуйте его в папку Base внутри папки AVZ, заменив имеющиеся файлы и перезапустите AVZ.

    Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
    http://dataforce.ru/~kad/ScanVuln.txt
    Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
    Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
    Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.

    Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.

    - - - Добавлено - - -

    Прокси ваш?
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 190.202.87.134:3128
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  5. Это понравилось:


  6. #4
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    Проблемма не решена. Вирус также остался. Карантин прислал.

    Новый лог HijackThis и AVZ syscheck прикладываю. Также лог MBAM до выполнения скриптов в AVZ тоесть. Наночь на проверку поставил и готово. Обновления программ в процессе установки

    virusinfo_syscheck.zip
    MBAM-log-2013-02-12 (08-01-10).txt
    avz_log.txt
    hijackthis.log

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    При подключенном интернете выполните скрипт в AVZ (как выполнить):
    Код:
    begin
     ClearQuarantine;  
     ExecuteAVUpdate;
     ExecuteStdScr(4);
    end.
    Скрипт будет выполняться несколько минут (обычно не больше 10), по окончании появится окно с сообщением о успешном выполнении скрипта.
    После этого в папке AVZ\LOG появится файл вида virusinfo_files_<имя вашего компьютера>.zip.
    Загрузите этот файл по этой ссылке:
    http://virusinfo.info/upload_clean.php
    По окончании загрузки скопируйте информацию о загрузке и вставьте ее в ваше следующее сообщение.

    Скачайте, распакуйте и запустите TDSSKiller:
    http://support.kaspersky.ru/faq/?qid=208636926
    Если программа обругается на файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
    Файл C:\TDSSKiller.***_log.txt приложите в теме.
    (где *** - версия программы, дата и время запуска).

    Сделайте лог MiniToolBox:
    http://virusinfo.info/showthread.php...877#post902877
    и приложите в теме.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  8. #6
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    Файл от AVZ не получается залить изза скорости и весит он 60мб. Залил на яндекс диск. вот ссылка http://yadi.sk/d/T8TSGl-V2aFqz

    остальные логи прилагаю

    TDSSKiller.2.8.16.0_13.02.2013_20.56.10_log.txt
    MiniToolBox Result.txt
    GMER LOG.log

  9. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Скачайте AdwCleaner и просканируйте систему. Лог приложите.
    Ссылка для скачивания: http://www.rtiopt64.ru/Startpage/AdwCleaner.exe
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #8
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    лог AdwCleaner

    AdwCleaner[R1].txt

  11. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Нашелся Conduit & PriceGong. Это надо зачистить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #10
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    Ага. Порылся в инете. советуют поставить SpyHunter (нашел на рутрекере с ключем без ключа не удаляется)

    вот отчет что нашел он http://zalil.ru/34262962

    Trojan Bagle
    Search.Conduit ( очень много файлов от него и веток в реестре)
    Adware.PriceGong

    Их удалил. Посмотрим что будет. Еще отпишусь
    И вопрос почему другие антивирусы не находили этого??? И не удаляли
    Изображения Изображения
    • Тип файла: jpg vir.jpg (185.5 Кб, 6 просмотров)

  13. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Oleg Kolesnikov Посмотреть сообщение
    Search.Conduit ( очень много файлов от него и веток в реестре)
    Adware.PriceGong
    Надо было зачистить AdwCleaner. Чтобы лишнюю программу для лечения не ставить.
    Другие специализируются на вирусах, а тут Адваре.
    По идее Мбам должен был найти и зачистить запросто. Я просто побоялся его применять на компьютере с Клиент-банком. Были случаи в моей практике, когда МБАМ запчасти от клиент-банка зачищал .
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  14. #12
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    И так проблемма не решена. лог AdwCleaner
    всё чисто

    AdwCleaner[R3].txt

    Запустил MBAM. Посмотрим что скажет. Лог приложу как отсканирует.

  15. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Лог Хиджака повтори.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  16. #14
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    вот мбам и hijackthis

    refbook удалил. щас ребутну. напишу результат
    Вложения Вложения

  17. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Есть способ такой: отключаем AVG и смотрим какую нам стартовую страницу поставят. По ней можно попытаться определить какая программа это делает.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #16
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    Не помогло.

    - - - Добавлено - - -

    Ок. щас попробую
    Изображения Изображения
    • Тип файла: jpg 123.jpg (57.7 Кб, 5 просмотров)

  19. #17
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Это просто резидентная защита AVG сработала. Ее тяжело отключать. Постараюсь из дома написать один из вариантов. Удаленно утилитами это сделать тяжело. Твоими руками будем делать.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  20. #18
    Junior Member (OID) Репутация
    Регистрация
    11.02.2013
    Сообщений
    13
    Вес репутации
    41
    AVG из автозапуска убрал. Перезагрузился. Окошечко это от антивируса не выскакивает. но и стартовая страница никакая не поставилась. что в Opera стояла google.ru что в IE стоит google.ru

    - - - Добавлено - - -

    ок.

    - - - Добавлено - - -

    Может сам файл explorer заражен? может из такойже сборки windows файл explorer.exe заменить на новый??

    - - - Добавлено - - -

    На вирус тотал отправил файл explorer.exe вот ссылка на инфу о том что выдало https://www.virustotal.com/ru/file/a2964c6302181f2d1a59333f1e5fbf90cbbab3b9e20d46f613 983c0f2f8a0e04/analysis/1360931970/

    Trojan.Win32.StartPage

  21. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Неудачная ссылка получилась, открываться не хочется.
    Возможно, файл патченный.
    Замени его и посмотри за самочувствием системы.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  22. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Скачал ваш файл из сообщения №6.
    Загрузил Киберу, но он почему-то не ответил пока.
    Проверил у себя KIS, чисто.
    В архиве есть и explorer.exe, проверил его на вирустотал:
    https://www.virustotal.com/ru/file/a...0e04/analysis/
    Похоже ложное срабатывание.
    Что у вас за система? Сборка какая-то?
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  • Уважаемый(ая) Oleg Kolesnikov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. троянский конь
      От levlev в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.12.2012, 13:05
    2. Помогите вылечить Троянский конь Generic6_c.BGXY
      От Евгений Белкин в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.11.2012, 21:40
    3. Ответов: 6
      Последнее сообщение: 17.05.2011, 15:51
    4. Троянский конь BackDoor.Generic10.JBN
      От Zkjuby в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 06.05.2010, 23:30
    5. троянский конь
      От Holly в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.07.2009, 17:04

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01471 seconds with 20 queries