Перейти к содержанию
Правила раздела

Проверьте, пожалуйста, логи моего компьютера

Ibrahimović

От Ibrahimović
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Ibrahimović Постоялец

Ibrahimović

Опубликовано
Опубликовано (изменено)

В общем, в названии темы и изложена вся суть. Меня беспокоит это:

 

10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX

KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются.

 

 

 

 

http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю.

 

P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил.

hijackthis.log

virusinfo_syscheck.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили?

"Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Проверьте в реестре в ветке 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано
Проверьте в реестре в ветке 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Эти файлы удаляйте. Это следы Clone.bj

 

Кроме того, этот вирус может попадать на компьютер с флэшек.

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • stasmixaylovic
      [РЕШЕНО] Проверьте пожалуйста на вирусы
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • Эльнар
      Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Sergei Lomov
      Майнер на компьютере
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
×
×
  • Создать...