Показано с 1 по 6 из 6.

Подозрение на трояна, ворующего пароли от клиент-банков main.lua (заявка № 140723)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2010
    Сообщений
    96
    Вес репутации
    26

    Подозрение на трояна, ворующего пароли от клиент-банков main.lua

    Пожалуйста, посмотрите логи, на компе какая-то зараза. Инет работает через раз, страницы могут вообще не грузиться. Ну и троян этот. Нашел ярлык с таким содержанием поля "Объект" в свойствах ярлыка: "C:\WINDOWS.0\system32\notepad.exe C:\Program Files\Cheat Engine 6.2\main.lua". И плюс ко всему, невозможно зайти в свойства системы, т.к. этот файлик удален , так что восстановление системы пытался отключить в реестре, но не знаю как проверить теперь, получилось отключить или нет.
    Вложение 423652Вложение 423653Вложение 423654

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) bistro, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mrak74
    Регистрация
    03.10.2009
    Адрес
    Москва
    Сообщений
    8,082
    Вес репутации
    443
    У Вас установлено 2 приложения с модулем фаервола eset smart security и agnitum outpost. Это в помощь Инструкции и утилиты для полного удаления остатков антивирусных продуктов удалите один из них, при этом не забудьте оставить что то с модулем антивируса.

    Пофиксите в HijackThis:
    Код:
    O2 - BHO: QipLI - {6B5863A0-C43F-4C0A-982B-CC0E9125783F} - (no file)
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    O3 - Toolbar: Яндекс.Бар (для uTorrent) - {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - (no file)
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    C:\Program Files\Приложение www.klerk.ru\toolbar.dll
    - это приложение Вам знакомо ?

    После удаления одного из фаерволов. Сделайте лог утилиты GetSystemInfo + Сделайте лог полного сканирования MBAM

  5. #4
    Junior Member Репутация
    Регистрация
    21.01.2010
    Сообщений
    96
    Вес репутации
    26
    Все выполнено. Приложение знакомо, бухгалтер работает с ним, но если есть сомнения, могу и удалить.
    Лог GetSystemInfo Лог MBAM: Вложение 424072

    Инет кстати, так и тормозит. При этом выявлена такая закономерность: когда включаешь комп и доходит до входа в систему, если пароль набираешь сразу и это окошко не висит несколько минут, то все нормально работает. Если пароль наберешь не сразу, а спустя какое-то время, то инет тормозит, и ничего не грузится
    Последний раз редактировалось bistro; 22.06.2013 в 14:59.

  6. #5
    Junior Member Репутация
    Регистрация
    21.01.2010
    Сообщений
    96
    Вес репутации
    26
    подниму тему

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,798
    Вес репутации
    779
    Удалите в MBAM всё, кроме:
    Код:
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
    C:\WINDOWS\system32\ctfmon.exe (Trojan.FakeMS) -> Действие не было предпринято.
    C:\WINDOWS\system32\winlogon.exe (Trojan.FakeMS.ED) -> Действие не было предпринято.
    C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> Действие не было предпринято.
    C:\WINDOWS.0\I386\CTFMON.EX_ (Trojan.FakeMS) -> Действие не было предпринято.
    C:\WINDOWS.0\I386\IISSYNC.EX_ (Virus.Expiro) -> Действие не было предпринято.
    D:\Program Files\Compax software\kulinar\help\favorite.gif (Extension.Mismatch) -> Действие не было предпринято.
    G:\Program Files\Compax software\kulinar\help\favorite.gif (Extension.Mismatch) -> Действие не было предпринято.
    Сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  8. Vvvyg получил(а) благодарность за это сообщение от


  • Уважаемый(ая) bistro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. подозрение. воруют пароли
      От Сергей Недорезов в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.10.2012, 19:32
    2. Подозрения на трояна, текут пароли
      От Darknest One в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 12.07.2012, 14:13
    3. my folders in main drives turned in to .exe files
      От abhishek в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 02.12.2009, 17:40
    4. Ответов: 17
      Последнее сообщение: 15.07.2009, 17:31
    5. Украли пароли подозрение на вирусы
      От compik в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 01:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00418 seconds with 21 queries