[решено] поймал triojan.win32.bhodflttab.a - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] поймал triojan.win32.bhodflttab.a (http://forum.oszone.net/showthread.php?t=281988)

поймал triojan.win32.bhodflttab.a

доброго всем здоровья!
эта зараза собирается в кучу и пытается чего-то делать
каспер блокирует (лечение с перезагрузкой)
доктор веб также находит и убивает
но основа где-то прячется
вирус видно новый - гугл дает только один результат https://www.virustotal.com/ru/file/d...77f8/analysis/
эта зараза лежит в карантине в каспере - как вытащить не знаю
уровень моих знаний - юзер, поэтому прошу ногами не пинать :)
зы
прибил прогу defaulttab , где он гнездился
буду ждать пока вылезет опять

Соберите логи по этой инструкции.

Cпасибо, ноут рабочий буду заниматься после праздников

выходные прошли
ноут на работе
asus x52n
win7*64pro
4gb ram
каспер13
пока вирус молчит
прикрепляю логи

1. Пофиксите в HijackThis следующие строчки:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pu-results.info/?pid=708&r=2013/02/27&hid=2856122881&lg=EN&cc=UA

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.pu-results.info/?pid=708&r=2013/02/27&hid=2856122881&lg=EN&cc=UA

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=2958&bs=true&q=

2. Подготовьте лог MBAM.

выполнил

зы
в качестве эксперимента перестал заходить удаленно по сети со старой машинки xp sp3
ту машинку проверял CureIT и авз
вопрос:
может также прогнать ее "мбам"

Если уже закрыли MBAM, повторите сканирование (можно только диск С) и удалите все, кроме:

Цитата:

Обнаруженные файлы:
C:\Downloads\Архивы\passrec.zip (PUP.PSW.MessenPass) -> Действие не было предпринято.
C:\Downloads\Программы\dexpot_164_r2186.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Program Files (x86)\DU Meter\DUMeter501_crk.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
D:\instal1\Photoshop\48_ADOBEPHOTOSHOPC.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\install\BOX_KTR3.1.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\install\GetData.Recover.My.Files.NOY.rar (Trojan.Downloader) -> Действие не было предпринято.
D:\install\Upgrade_7_Keygen_1.0.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\install\user27.msi (Trojan.Dropper) -> Действие не было предпринято.
D:\install\winamp5601_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\install\Generic Antiwpa-2.1.5-WinXP-2k3\AntiWPA_Crypt.dll (Hacktool) -> Действие не было предпринято.
D:\install\GetData.Recover.My.Files.v3.9.8.6472.Incl.Keygen-NOY\noy\Setup\keygen.exe (Trojan.Downloader) -> Действие не было предпринято.
D:\install\Lanagent\user27.msi (Trojan.Dropper) -> Действие не было предпринято.
D:\install\NOD\nod.rar (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Multi Password Recovery 1.1.7 portable + unipatch\HookLib.dll (PUP.Hooker) -> Действие не было предпринято.
D:\Multi Password Recovery 1.1.7 portable + unipatch\mpr.unipatch.exe (Malware.Packer.Gen) -> Действие не было предпринято.
D:\Multi Password Recovery 1.1.7 portable + unipatch\mpr_portable.zip (PUP.Hooker) -> Действие не было предпринято.
D:\загрузки\soft\Design.Science.Mathtype.6.5b.rar (PUP.Keygen.Intro) -> Действие не было предпринято.
D:\загрузки\soft\Design.Science.MathType.v6.5b.Incl.Keymaker-CORE.rar (PUP.Keygen.Intro) -> Действие не было предпринято.
D:\загрузки\soft\EDGE_PLUS_CiM.7z (Trojan.Agent) -> Действие не было предпринято.
D:\загрузки\soft\StaffCop_310_setup.exe (PUP.StaffCop) -> Действие не было предпринято.
D:\загрузки\симб 9\1170071200_mbm_tool.rar (Malware.Packer.Gen) -> Действие не было предпринято.
D:\загрузки\симб 9\HandyProfiles_1.05.zip (Trojan.Downloader) -> Действие не было предпринято.
D:\загрузки\симб 9\LCG_Jukebox.2_17.zip (PUP.Keygen) -> Действие не было предпринято.
D:\загрузки\симб 9\RootSiGN.zip (Hacktool.RootSign) -> Действие не было предпринято.
D:\загрузки\симб 9\signtools2.2.exe (Trojan.Agent.H) -> Действие не было предпринято.
D:\загрузки\симб 9\На 6220\signtools2.2.rar (Trojan.Agent.H) -> Действие не было предпринято.

Повторите лог MBAM.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

оффтоп
много работы только добрался до ноута
логи прикрепил

Цитата:

Цитата Sandor

Повторите лог MBAM. »

?

Что с проблемой?

перестал заходить удаленно по сети со старой машинки ХР3
вирус не вылазит
буду тестить старую машинку
лог прикрепляю
если можно продлю эту тему уже по той машинке

зы
много работы
результаты позже

Порядок.

Цитата:

Цитата arcev

если можно продлю эту тему уже по той машинке »

Создайте отдельную тему для другой машины.

На этой:
Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.