Перейти к содержанию
Правила раздела

Проверьте, пожалуйста, логи моего компьютера

Ibrahimović

От Ibrahimović
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Ibrahimović Постоялец

Ibrahimović

Опубликовано
Опубликовано (изменено)

В общем, в названии темы и изложена вся суть. Меня беспокоит это:

 

10.09.2009 14:03:34 Обнаружено: Packed.Win32.Klone.bj C:\WINDOWS\system32\csrcs.exe/PE_Patch.UPX/UPX

KIS его после перезагрузки удалил, но дело в том, что это было уже 3-е пришествие этого файла после того, как KIS его уже 2 раза в своё время удалял. Раньше компьютер вообще при каждом запуске писал ошибку, что он не может найти данный файл, и советовал мне воспользоваться поиском. Надеюсь на Ваш скорый ответ. Логи прилагаются.

 

 

 

 

http://www.getsysteminfo.com/read.php?file...79a13fdacc75e1d

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_IBRAHIMOVIC_Домашний_2009_09_12_10_19_09.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Удалите бунжур.

Если используете антивирус касперского, то удалите остатки доктора веба из системы!

 

В HJT пофиксите строчки:

 

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Documents and Settings\Домашний\Application Data\Mozilla\Firefox\Profiles\bnrp7j1y.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O24 - Desktop Component 0: (no name) - file:///C:\DOCUME~1\ДОМАШНИЙ\LOCALS~1\Temp\msohtmlclip1\01\clip_image002.jpg

HJT пофиксил, "Бунжур" удалил, а вот с "Доктором Вебом" Вы меня лично огорошили, так как я никогда данное ПО не устанавливал.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано

Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Вот тут почитайте http://wiki.drweb.com/index.php/Очистка_ма...ленного_Dr.Web®

У вас в автозапуске C:\PROGRA~1\DrWeb\SpiderNT.exe

Повторите лог HJT + AVZ стандартный скрипт номер 2.

Выполнил попрошенные Вами логи. Использовал ремувер для "Веба", насчёт результата ничего не знаю.

 

P. S. Мне надо уйти, вернусь примерно в 15:30 или 16:00. Не подумайте, что я всё бросил.

hijackthis.log

virusinfo_syscheck.zip

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано (изменено)
Бунжур как удаляли? Ничего плохого не нашел в логах. Файл hosts, как я понял, сами правили?

"Бунжур" удалял через "Панель управления" ---> "Установка и удаление программ". Файл "hosts" редактировал лично сам, для того, чтобы поиграть в одну игру по И-нету.

Изменено пользователем Ibrahimović
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Проверьте в реестре в ветке 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Ссылка на комментарий
Поделиться на другие сайты
Ibrahimović Постоялец

Ibrahimović

Опубликовано
  • Автор
Опубликовано
Проверьте в реестре в ветке 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

параметры ShowSuperHidden, SuperHidden, Hidden на предмет равенства "1" (это правильное значение). Если не совпадает, исправьте на правильное значение. Если повезет, увидите много интересного на дисках ;)

 

Закрывайте расшаренные ресурсы - Clone.bj появляется на них в виде ехе-файлов с беспорядочным названием.

В папке system32 могут быть еще два файлика autorun.in, autorun.i

 

Bonjour лучше удалять вот так http://virusinfo.info/showthread.php?t=27923

Сделал всё, как вы сказали. В результате махинаций с реестром открылся доступ к скрытым файлам и папкам компьютера. "Bonjour" по схеме, предложенной на выложенном Вами сайте, я удалил. не понял только что делать с utorun.in и autorun.i. Файлы эти в данной директории есть. Их удалять надо или нет? Все свои расшаренные папки я прикрыл.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Эти файлы удаляйте. Это следы Clone.bj

 

Кроме того, этот вирус может попадать на компьютер с флэшек.

Изменено пользователем thyrex
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • stasmixaylovic
      [РЕШЕНО] Проверьте пожалуйста на вирусы
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • iaroslav
      Майнер на компьютере
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • Эльнар
      [РЕШЕНО] Помогите пожалуйста удалить вирус
      От Эльнар
      Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.
      CollectionLog-2024.12.02-15.07.zip
    • Kashey
      Поймал шифровальщик LoKi Locker помогите пожалуйста
      От Kashey
      Добрый день только поставил чистый сервер 2012 r2, и в течении полу дня поймали шифровальщика, "Loki Locker", по неопытности просканил KRD и удалил все намеки на вирус, но проблема соответственно не решилась, переустановил ОС и опять ничего ))) Как бы и было это и было ясно с самого начало, но попытка не пытка ))) На других локальных дисках была очень важная информация.
      Помогите пожалуйста.
      ОС Переустанавливал
      Зашифрованные файлы.7z Far Bar result files.7z Файл с требованиями.7z
    • Cardi
      Подскажите, пожалуйста, как удалить вирус heur:Trojan.Win32.Miner.gen?
      От Cardi
      Подскажите, пожалуйста, как удалить вирус HEUR:Trojan.Win32.Miner.gen?
      При запуске KVRT или dr web Curlet, обнаруживается вирус, но после перезагрузки все возвращается обратно. Также пробовал загружать из безопасного режима, ничего не меняется. 

×
×
  • Создать...