Перейти к содержанию
Правила раздела

Подозрение на вирусы

SaiTa

От SaiTa
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Roman_Five

    17

  • SaiTa

    17

  • Tiare

    2

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Roman_Five
Roman_Five

это Вы должны решить сами.         выполните рекомендации http://safezone.cc/forum/showthread.php?t=2065   после этого удалите вручную вот это пустое значение реестра в редакторе реестра:

Tiare
Tiare

Попробуйте отправить папку с карантином повторно через вышеуказанную форму и через электронную почту на адрес newvirus@kaspersky.com.

Posted Images

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

если файлы по-прежнему не прикрепляются на форуме, требуемые логи залейте на какой-нибудь файлообменник (zalil.ru, ...) и приложите ссылку.

Ссылка на комментарий
Поделиться на другие сайты
SaiTa Профи

SaiTa

Опубликовано
  • Автор
Опубликовано

Вот загрузил новые логи

А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет. :huh:

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет.

сори. забыл приписать:

выложите ссылки на результаты проверки.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
А что делать с программой MBAM?

пока ничего. ведь не сделано вот это:

После удаления откройте лог и прикрепите его к сообщению.

 

что это?

 Portable ST Thumbnails Explorer 1.2.2195.exe

в прошлых логах этого не было.

 

Плюс после выключения из автозагрузки RocketDock он снова включен!

он инсталлирован здесь:

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

O4 - HKLM\..\Run: [MultiScreen]

 

Ещё раз воспользуйтесь очисткой реестра в CCleaner

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('D:\Сортировка\Программы\Portable ST Thumbnails Explorer 1.2.2195\Portable ST Thumbnails Explorer 1.2.2195.exe','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\14.0.835.202\gcswf32.dll','');
QuarantineFile('c:\documents and settings\user\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe ','MBAM:Adware.ADON');
QuarantineFile('c:\documents and settings\user\application data\microsoft\warcraft iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Хакер\keygen.exe ','MBAM:Trojan.Agent.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-32bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-64bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\Install\от сергея\warcraft_iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\program files\Opera AC\misc\txt2clip.exe ','MBAM:Backdoor.Bot');
QuarantineFile('c:\program files\invisible ip map\invisibleip.exe ','MBAM:Malware.NSPack');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelation.exe ','MBAM:HackTool.Snadboy');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelationhelper.dll ','MBAM:PUP.PWSTool.SnadBoy');
QuarantineFile('c:\TCDL\tcmd755pb2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\WinUDA.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\TheCalc\Numlock.dll ','MBAM:Trojan.Downloader');
QuarantineFile('c:\TCDL\utilities\CLCL\CLCL.exe ','MBAM:Trojan.FakeAlert');
QuarantineFile('c:\TCDL\utilities\regworkshop\Keygen.exe ','MBAM:Riskware.Tool.CK');
QuarantineFile('c:\TCDL\utilities\regworkshop\Patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\SFX Tool\GUI_7zS.exe ','MBAM:Trojan.KillAV');
QuarantineFile('c:\TCDL\utilities\SFX Tool\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\UltraVNC\vnchooks.dll ','MBAM:Spyware.Passwords');
QuarantineFile('c:\TCDL\utilities\WinUpack\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupacke.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupackr.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\CORE10k.EXE ','MBAM:Dont.Steal.Our.Software');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\программы\adobeall_sirotka.net\adobe_all_app_keygen.exe ','MBAM:Malware.Tool');
QuarantineFile('d:\сортировка\программы\coreldraw x4\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\Фотошоп\Плагины\alienskins software aio\alien skin blowup v2.0.2\blow.up.2.0.2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Что с окном? (system32)

Ссылка на комментарий
Поделиться на другие сайты
SaiTa Профи

SaiTa

Опубликовано
  • Автор
Опубликовано (изменено)
что это?

Очень нужная программка для просмотра изображений.

 

он инсталлирован здесь:

Уже убрал. Спасибо!

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

Профиксил.

И еще, мне не нужна программка MagicTune Professional b WindowsBlinds 6

И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

Файл Quarantine.zip уже2 раfз отправляk, но пока ни разу ответа не получал. А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ. :)

 

Что с окном? (system32)

Все также выпрыгивает при загрузке операционки! Оно мне уже изрядно поднадоело, сделайте что-нибудь, пожалуйста! :)

Изменено пользователем SaiTa
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

это родительская папка рокетдокс. на ваше усмотрение.

 

3-ий раз напоминаю про лог MBAM после удаления в нём.

 

дождёмся ответа по карантинам.

 

А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ.

сами заархивруйте в zip 2 раза по половине файлов папки Quarantine с паролем virus и отправьте.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Удалите в MBAM ТОЛЬКО следующие объекты:

Код

Зараженные ключи в реестре:

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

 

После удаления откройте лог и прикрепите его к сообщению.

;)

 

И по-прежнему все "радует глаз" папка System32!

пока не критично.

дождёмся ответа по карантинам.

ответов не было?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
пока не критично.

сделайте экспорт двух веток реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

в два отдельных файла.

файлы заархивируйте и приложите к теме.

Ссылка на комментарий
Поделиться на другие сайты
SaiTa Профи

SaiTa

Опубликовано
  • Автор
Опубликовано
Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Извините, недосмотрел.

Все сделал как Вы просили:

mbam_log_2011_10_12__18_59_18_.txt

 

сделайте экспорт двух веток реестра:

Первую ветку реестра выкладываю, а вот вторую увы не нашел. ;)

1.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Извините, недосмотрел.

Все сделал как Вы просили:

;)

Тип сканирования: Быстрое сканирование

лог требовался после полного сканирования и удаления тех строк.

 

 

а вот вторую увы не нашел.

она есть - примерно такая:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"=C:\Program Files\uTorrent\uTorrent.exe
"WinHider"=c:\program files\adk's winhider\hide.exe
"Skype"=C:\Program Files\Skype\Phone\Skype.exe
"RocketDock"=C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

Ссылка на комментарий
Поделиться на другие сайты
SaiTa Профи

SaiTa

Опубликовано
  • Автор
Опубликовано

Извините, болел!

Вот полное сканирование:

mbam_log_2011_10_18__15_48_39_.txt

А вот ветка реестра:

2.zip

И еще, у меня программа MagicTunner много ресурса есть (она автоматически загружается), а может быть ее вообще удалить?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tkm
      Подозрения на вирус/майнер
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • Control
      [РЕШЕНО] Подозрение на майнер
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • Артуp
      Подозрение на майнер
      От Артуp
      Использую обход ограничения дискорда и ютуба через скрипт, как в посте у данного пользователя. Но у меня компьютер сам включается, если его в сон закидывать. Что с этим делать? Вот Файл архива с образом автозапуска из uVS
       
      WIN-IP6ESJ6INRU_2025-01-01_21-10-23_v4.99.5v x64.7z
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...