Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Проверьте, пожалуйста, логи моего компьютера

Ibrahimović

Автор Ibrahimović
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ibrahimović Постоялец

Ibrahimović

Опубликовано
Опубликовано (изменено)

В общем, в названии темы и изложена вся суть. Меня беспокоит это:

 

10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX

KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются.

 

 

 

 

http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю.

 

P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил.

hijackthis.log

virusinfo_syscheck.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили?

"Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Проверьте в реестре в ветке 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано
Проверьте в реестре в ветке 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Эти файлы удаляйте. Это следы Clone.bj

 

Кроме того, этот вирус может попадать на компьютер с флэшек.

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил79
      зашифровали компьютер с 1С
      Автор Михаил79
      Здравствуйте. Зашифровали рабочий компьютер с 1с
      Addition.txt arhiv.rar FRST.txt
    • dlitsov
      [РЕШЕНО] Майнер на компьютере
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      [РЕШЕНО] Майнер на компьютере
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • Владислейв
      Компьютер сильно лагает
      Автор Владислейв
      Недавно переустановил виндовс на ноуте в надежде избавится от лагов из-за вирусов, не помогло. Прошу помочь в диагностике на наличие вирусов и по возможности их удалении. Спасибо) (Ноут старый но в свое время тянул Дота 2 а сейчас еле как Варкрафт 3 тянет, фрагментация и очистка папки Temp немного помогает, но все равно через время лаги возвращаются, сам ноут не нагревается от игры и других программ, кулер работает исправно)
       
      Проверка Касперского VRT угроз не обнаружило (проверку делал после сбора логов)
      CollectionLog-2025.03.29-01.52.zip
    • ZombOs
      Майнер на компьютере
      Автор ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
×
×
  • Создать...