Перейти к содержанию

Подозрение на вирусы


Рекомендуемые сообщения

если файлы по-прежнему не прикрепляются на форуме, требуемые логи залейте на какой-нибудь файлообменник (zalil.ru, ...) и приложите ссылку.

Ссылка на комментарий
Поделиться на другие сайты

Вот загрузил новые логи

А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет. :huh:

Ссылка на комментарий
Поделиться на другие сайты

А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет.

сори. забыл приписать:

выложите ссылки на результаты проверки.

Ссылка на комментарий
Поделиться на другие сайты

А что делать с программой MBAM?

пока ничего. ведь не сделано вот это:

После удаления откройте лог и прикрепите его к сообщению.

 

что это?

 Portable ST Thumbnails Explorer 1.2.2195.exe

в прошлых логах этого не было.

 

Плюс после выключения из автозагрузки RocketDock он снова включен!

он инсталлирован здесь:

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

O4 - HKLM\..\Run: [MultiScreen]

 

Ещё раз воспользуйтесь очисткой реестра в CCleaner

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('D:\Сортировка\Программы\Portable ST Thumbnails Explorer 1.2.2195\Portable ST Thumbnails Explorer 1.2.2195.exe','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\14.0.835.202\gcswf32.dll','');
QuarantineFile('c:\documents and settings\user\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe ','MBAM:Adware.ADON');
QuarantineFile('c:\documents and settings\user\application data\microsoft\warcraft iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Хакер\keygen.exe ','MBAM:Trojan.Agent.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-32bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-64bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\Install\от сергея\warcraft_iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\program files\Opera AC\misc\txt2clip.exe ','MBAM:Backdoor.Bot');
QuarantineFile('c:\program files\invisible ip map\invisibleip.exe ','MBAM:Malware.NSPack');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelation.exe ','MBAM:HackTool.Snadboy');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelationhelper.dll ','MBAM:PUP.PWSTool.SnadBoy');
QuarantineFile('c:\TCDL\tcmd755pb2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\WinUDA.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\TheCalc\Numlock.dll ','MBAM:Trojan.Downloader');
QuarantineFile('c:\TCDL\utilities\CLCL\CLCL.exe ','MBAM:Trojan.FakeAlert');
QuarantineFile('c:\TCDL\utilities\regworkshop\Keygen.exe ','MBAM:Riskware.Tool.CK');
QuarantineFile('c:\TCDL\utilities\regworkshop\Patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\SFX Tool\GUI_7zS.exe ','MBAM:Trojan.KillAV');
QuarantineFile('c:\TCDL\utilities\SFX Tool\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\UltraVNC\vnchooks.dll ','MBAM:Spyware.Passwords');
QuarantineFile('c:\TCDL\utilities\WinUpack\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupacke.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupackr.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\CORE10k.EXE ','MBAM:Dont.Steal.Our.Software');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\программы\adobeall_sirotka.net\adobe_all_app_keygen.exe ','MBAM:Malware.Tool');
QuarantineFile('d:\сортировка\программы\coreldraw x4\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\Фотошоп\Плагины\alienskins software aio\alien skin blowup v2.0.2\blow.up.2.0.2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Что с окном? (system32)

Ссылка на комментарий
Поделиться на другие сайты

что это?

Очень нужная программка для просмотра изображений.

 

он инсталлирован здесь:

Уже убрал. Спасибо!

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

Профиксил.

И еще, мне не нужна программка MagicTune Professional b WindowsBlinds 6

И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

Файл Quarantine.zip уже2 раfз отправляk, но пока ни разу ответа не получал. А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ. :)

 

Что с окном? (system32)

Все также выпрыгивает при загрузке операционки! Оно мне уже изрядно поднадоело, сделайте что-нибудь, пожалуйста! :)

Изменено пользователем SaiTa
Ссылка на комментарий
Поделиться на другие сайты

И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

это родительская папка рокетдокс. на ваше усмотрение.

 

3-ий раз напоминаю про лог MBAM после удаления в нём.

 

дождёмся ответа по карантинам.

 

А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ.

сами заархивруйте в zip 2 раза по половине файлов папки Quarantine с паролем virus и отправьте.

Ссылка на комментарий
Поделиться на другие сайты

Извините за задержку, компьютер был очень нужен.

Вот отчет:

mbam_log_2011_10_11__08_20_04_.txt

 

И по-прежнему все "радует глаз" папка System32! ;)

Ссылка на комментарий
Поделиться на другие сайты

Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Удалите в MBAM ТОЛЬКО следующие объекты:

Код

Зараженные ключи в реестре:

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

 

После удаления откройте лог и прикрепите его к сообщению.

;)

 

И по-прежнему все "радует глаз" папка System32!

пока не критично.

дождёмся ответа по карантинам.

ответов не было?

Ссылка на комментарий
Поделиться на другие сайты

пока не критично.

сделайте экспорт двух веток реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

в два отдельных файла.

файлы заархивируйте и приложите к теме.

Ссылка на комментарий
Поделиться на другие сайты

Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Извините, недосмотрел.

Все сделал как Вы просили:

mbam_log_2011_10_12__18_59_18_.txt

 

сделайте экспорт двух веток реестра:

Первую ветку реестра выкладываю, а вот вторую увы не нашел. ;)

1.zip

Ссылка на комментарий
Поделиться на другие сайты

Извините, недосмотрел.

Все сделал как Вы просили:

;)

Тип сканирования: Быстрое сканирование

лог требовался после полного сканирования и удаления тех строк.

 

 

а вот вторую увы не нашел.

она есть - примерно такая:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"=C:\Program Files\uTorrent\uTorrent.exe
"WinHider"=c:\program files\adk's winhider\hide.exe
"Skype"=C:\Program Files\Skype\Phone\Skype.exe
"RocketDock"=C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

Ссылка на комментарий
Поделиться на другие сайты

Извините, болел!

Вот полное сканирование:

mbam_log_2011_10_18__15_48_39_.txt

А вот ветка реестра:

2.zip

И еще, у меня программа MagicTunner много ресурса есть (она автоматически загружается), а может быть ее вообще удалить?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • super__feya
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • GlibZabiv
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • asmonekus
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • tkm
      Автор tkm
      Система стала сильно использовать ресурсы. При проверке антивирусом был обнаружен и обезврежен один файл
      CollectionLog-2025.02.28-12.50.zip
    • foxlape
      Автор foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
×
×
  • Создать...