Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Проверьте, пожалуйста, логи моего компьютера

Ibrahimović

Автор Ibrahimović
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ibrahimović Постоялец

Ibrahimović

Опубликовано
Опубликовано (изменено)

В общем, в названии темы и изложена вся суть. Меня беспокоит это:

 

10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX

KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются.

 

 

 

 

http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю.

 

P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил.

hijackthis.log

virusinfo_syscheck.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили?

"Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Проверьте в реестре в ветке 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано
Проверьте в реестре в ветке 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Эти файлы удаляйте. Это следы Clone.bj

 

Кроме того, этот вирус может попадать на компьютер с флэшек.

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Чилипиздрик
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
×
×
  • Создать...