Подозрение на вирусы

[SaiTa]

Сюда, а на virustotal.com не может отобразить страницу.

[Roman_Five]

если файлы по-прежнему не прикрепляются на форуме, требуемые логи залейте на какой-нибудь файлообменник (zalil.ru, ...) и приложите ссылку.

[SaiTa]

Вот загрузил новые логи

А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет.

[Roman_Five]

А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет.

сори. забыл приписать:

выложите ссылки на результаты проверки.

[SaiTa]

Вот: 1 2 3 4 5

А что делать с программой MBAM?

[Roman_Five]

А что делать с программой MBAM?

пока ничего. ведь не сделано вот это:

После удаления откройте лог и прикрепите его к сообщению.

 

что это?

 Portable ST Thumbnails Explorer 1.2.2195.exe

в прошлых логах этого не было.

 

Плюс после выключения из автозагрузки RocketDock он снова включен!

он инсталлирован здесь:

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

O4 - HKLM\..\Run: [MultiScreen]

 

Ещё раз воспользуйтесь очисткой реестра в CCleaner

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('D:\Сортировка\Программы\Portable ST Thumbnails Explorer 1.2.2195\Portable ST Thumbnails Explorer 1.2.2195.exe','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\14.0.835.202\gcswf32.dll','');
QuarantineFile('c:\documents and settings\user\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe ','MBAM:Adware.ADON');
QuarantineFile('c:\documents and settings\user\application data\microsoft\warcraft iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Хакер\keygen.exe ','MBAM:Trojan.Agent.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-32bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-64bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\Install\от сергея\warcraft_iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\program files\Opera AC\misc\txt2clip.exe ','MBAM:Backdoor.Bot');
QuarantineFile('c:\program files\invisible ip map\invisibleip.exe ','MBAM:Malware.NSPack');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelation.exe ','MBAM:HackTool.Snadboy');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelationhelper.dll ','MBAM:PUP.PWSTool.SnadBoy');
QuarantineFile('c:\TCDL\tcmd755pb2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\WinUDA.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\TheCalc\Numlock.dll ','MBAM:Trojan.Downloader');
QuarantineFile('c:\TCDL\utilities\CLCL\CLCL.exe ','MBAM:Trojan.FakeAlert');
QuarantineFile('c:\TCDL\utilities\regworkshop\Keygen.exe ','MBAM:Riskware.Tool.CK');
QuarantineFile('c:\TCDL\utilities\regworkshop\Patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\SFX Tool\GUI_7zS.exe ','MBAM:Trojan.KillAV');
QuarantineFile('c:\TCDL\utilities\SFX Tool\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\UltraVNC\vnchooks.dll ','MBAM:Spyware.Passwords');
QuarantineFile('c:\TCDL\utilities\WinUpack\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupacke.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupackr.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\CORE10k.EXE ','MBAM:Dont.Steal.Our.Software');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\программы\adobeall_sirotka.net\adobe_all_app_keygen.exe ','MBAM:Malware.Tool');
QuarantineFile('d:\сортировка\программы\coreldraw x4\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\Фотошоп\Плагины\alienskins software aio\alien skin blowup v2.0.2\blow.up.2.0.2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Что с окном? (system32)

[SaiTa]

что это?

Очень нужная программка для просмотра изображений.

 

он инсталлирован здесь:

Уже убрал. Спасибо!

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

Профиксил.

И еще, мне не нужна программка MagicTune Professional b WindowsBlinds 6

И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

Файл Quarantine.zip уже2 раfз отправляk, но пока ни разу ответа не получал. А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ.

 

Что с окном? (system32)

Все также выпрыгивает при загрузке операционки! Оно мне уже изрядно поднадоело, сделайте что-нибудь, пожалуйста!

Изменено 7 октября, 2011 пользователем SaiTa

[Roman_Five]

И еще, мне не нужна программка MagicTune Professional b WindowsBlinds 6

стандартную деинсталляцию использовали?

[Roman_Five]

И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

это родительская папка рокетдокс. на ваше усмотрение.

 

3-ий раз напоминаю про лог MBAM после удаления в нём.

 

дождёмся ответа по карантинам.

 

А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ.

сами заархивруйте в zip 2 раза по половине файлов папки Quarantine с паролем virus и отправьте.

[SaiTa]

Извините за задержку, компьютер был очень нужен.

Вот отчет:

mbam_log_2011_10_11__08_20_04_.txt

 

И по-прежнему все "радует глаз" папка System32!

[Roman_Five]

Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Удалите в MBAM ТОЛЬКО следующие объекты:

Код

Зараженные ключи в реестре:

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

 

После удаления откройте лог и прикрепите его к сообщению.

 

И по-прежнему все "радует глаз" папка System32!

пока не критично.

дождёмся ответа по карантинам.

ответов не было?

[Roman_Five]

пока не критично.

сделайте экспорт двух веток реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

в два отдельных файла.

файлы заархивируйте и приложите к теме.

[SaiTa]

Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Извините, недосмотрел.

Все сделал как Вы просили:

mbam_log_2011_10_12__18_59_18_.txt

 

сделайте экспорт двух веток реестра:

Первую ветку реестра выкладываю, а вот вторую увы не нашел.

1.zip

[Roman_Five]

Извините, недосмотрел.

Все сделал как Вы просили:

Тип сканирования: Быстрое сканирование

лог требовался после полного сканирования и удаления тех строк.

 

 

а вот вторую увы не нашел.

она есть - примерно такая:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"=C:\Program Files\uTorrent\uTorrent.exe
"WinHider"=c:\program files\adk's winhider\hide.exe
"Skype"=C:\Program Files\Skype\Phone\Skype.exe
"RocketDock"=C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[SaiTa]

Извините, болел!

Вот полное сканирование:

mbam_log_2011_10_18__15_48_39_.txt

А вот ветка реестра:

2.zip

И еще, у меня программа MagicTunner много ресурса есть (она автоматически загружается), а может быть ее вообще удалить?