Перейти к содержанию
Правила раздела

Подозрение на вирусы

SaiTa

Автор SaiTa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • Roman_Five

    17

  • SaiTa

    17

  • Tiare

    2

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Roman_Five
Roman_Five

это Вы должны решить сами.         выполните рекомендации http://safezone.cc/forum/showthread.php?t=2065   после этого удалите вручную вот это пустое значение реестра в редакторе реестра:

Tiare
Tiare

Попробуйте отправить папку с карантином повторно через вышеуказанную форму и через электронную почту на адрес newvirus@kaspersky.com.

Изображения в теме

Roman_Five

Roman_Five

Опубликовано
Опубликовано

если файлы по-прежнему не прикрепляются на форуме, требуемые логи залейте на какой-нибудь файлообменник (zalil.ru, ...) и приложите ссылку.

Roman_Five

Roman_Five

Опубликовано
Опубликовано
А на virustotal.com загружал, но там не совсем понятно, некоторые антивирусные программы определяют как вирус, некоторые нет.

сори. забыл приписать:

выложите ссылки на результаты проверки.

Roman_Five

Roman_Five

Опубликовано
Опубликовано
А что делать с программой MBAM?

пока ничего. ведь не сделано вот это:

После удаления откройте лог и прикрепите его к сообщению.

 

что это?

 Portable ST Thumbnails Explorer 1.2.2195.exe

в прошлых логах этого не было.

 

Плюс после выключения из автозагрузки RocketDock он снова включен!

он инсталлирован здесь:

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

O4 - HKLM\..\Run: [MultiScreen]

 

Ещё раз воспользуйтесь очисткой реестра в CCleaner

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('D:\Сортировка\Программы\Portable ST Thumbnails Explorer 1.2.2195\Portable ST Thumbnails Explorer 1.2.2195.exe','');
QuarantineFile('C:\Program Files\Google\Chrome\Application\14.0.835.202\gcswf32.dll','');
QuarantineFile('c:\documents and settings\user\application data\ad on multimedia\ebay shortcuts\ebayshortcuts.exe ','MBAM:Adware.ADON');
QuarantineFile('c:\documents and settings\user\application data\microsoft\warcraft iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Хакер\keygen.exe ','MBAM:Trojan.Agent.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-32bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\documents and settings\user\мои документы\downloads\Torrent\autocad2011\xf-a2011-64bits.exe ','MBAM:RiskWare.Tool.CK');
QuarantineFile('c:\Install\от сергея\warcraft_iii\BNVBotII.exe ','MBAM:Trojan.Dropper');
QuarantineFile('c:\program files\Opera AC\misc\txt2clip.exe ','MBAM:Backdoor.Bot');
QuarantineFile('c:\program files\invisible ip map\invisibleip.exe ','MBAM:Malware.NSPack');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelation.exe ','MBAM:HackTool.Snadboy');
QuarantineFile('c:\TC UP\PLUGINS\Tools\revelation\revelationhelper.dll ','MBAM:PUP.PWSTool.SnadBoy');
QuarantineFile('c:\TCDL\tcmd755pb2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\WinUDA.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\TheCalc\Numlock.dll ','MBAM:Trojan.Downloader');
QuarantineFile('c:\TCDL\utilities\CLCL\CLCL.exe ','MBAM:Trojan.FakeAlert');
QuarantineFile('c:\TCDL\utilities\regworkshop\Keygen.exe ','MBAM:Riskware.Tool.CK');
QuarantineFile('c:\TCDL\utilities\regworkshop\Patch.exe ','MBAM:PUP.Hacktool.Patcher');
QuarantineFile('c:\TCDL\utilities\SFX Tool\GUI_7zS.exe ','MBAM:Trojan.KillAV');
QuarantineFile('c:\TCDL\utilities\SFX Tool\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\UltraVNC\vnchooks.dll ','MBAM:Spyware.Passwords');
QuarantineFile('c:\TCDL\utilities\WinUpack\Upack.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupacke.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('c:\TCDL\utilities\WinUpack\winupackr.exe ','MBAM:Malware.Packer.Gen');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\CORE10k.EXE ','MBAM:Dont.Steal.Our.Software');
QuarantineFile('d:\сортировка\программы\Acdsee.Pro\acdsee.pro.v3.0.355.incl.keymaker-core\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\программы\adobeall_sirotka.net\adobe_all_app_keygen.exe ','MBAM:Malware.Tool');
QuarantineFile('d:\сортировка\программы\coreldraw x4\keygen.exe ','MBAM:Trojan.Dropper.PGen');
QuarantineFile('d:\сортировка\Фотошоп\Плагины\alienskins software aio\alien skin blowup v2.0.2\blow.up.2.0.2-patch.exe ','MBAM:PUP.Hacktool.Patcher');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Что с окном? (system32)

SaiTa

SaiTa

Опубликовано
  • Автор
Опубликовано (изменено)
что это?

Очень нужная программка для просмотра изображений.

 

он инсталлирован здесь:

Уже убрал. Спасибо!

 

Вы знаете такое ПО MultiScreen? это ПО было некорректно деинсталлировано?

если оно не нужно и его нет в "Установка/удаление программ" - пофиксите в Hijackthis:

Профиксил.

И еще, мне не нужна программка MagicTune Professional b WindowsBlinds 6

И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

Файл Quarantine.zip уже2 раfз отправляk, но пока ни разу ответа не получал. А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ. :)

 

Что с окном? (system32)

Все также выпрыгивает при загрузке операционки! Оно мне уже изрядно поднадоело, сделайте что-нибудь, пожалуйста! :)

Изменено пользователем SaiTa
Roman_Five

Roman_Five

Опубликовано
Опубликовано
И еще, мне не нужна программка MagicTune Professional b WindowsBlinds 6

стандартную деинсталляцию использовали?

Roman_Five

Roman_Five

Опубликовано
Опубликовано
И еще, вот этот путь, если не связано с операционкой можно тоже удалить? c:\WINDOWS\BricoPacks\

это родительская папка рокетдокс. на ваше усмотрение.

 

3-ий раз напоминаю про лог MBAM после удаления в нём.

 

дождёмся ответа по карантинам.

 

А в этот раз он отправляться не хочет и почему-то весит 25,3 МБ.

сами заархивруйте в zip 2 раза по половине файлов папки Quarantine с паролем virus и отправьте.

Roman_Five

Roman_Five

Опубликовано
Опубликовано

Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Удалите в MBAM ТОЛЬКО следующие объекты:

Код

Зараженные ключи в реестре:

HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\44 (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\J8RPLTROBQ (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\LEO0WTUNO7 (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

 

После удаления откройте лог и прикрепите его к сообщению.

;)

 

И по-прежнему все "радует глаз" папка System32!

пока не критично.

дождёмся ответа по карантинам.

ответов не было?

Roman_Five

Roman_Five

Опубликовано
Опубликовано
пока не критично.

сделайте экспорт двух веток реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

в два отдельных файла.

файлы заархивируйте и приложите к теме.

SaiTa

SaiTa

Опубликовано
  • Автор
Опубликовано
Александр! У меня тоже есть чувство юмора, но \то немного не смешно: в MBAM так и не было ничего удалено из запрошенного.

Извините, недосмотрел.

Все сделал как Вы просили:

mbam_log_2011_10_12__18_59_18_.txt

 

сделайте экспорт двух веток реестра:

Первую ветку реестра выкладываю, а вот вторую увы не нашел. ;)

1.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Извините, недосмотрел.

Все сделал как Вы просили:

;)

Тип сканирования: Быстрое сканирование

лог требовался после полного сканирования и удаления тех строк.

 

 

а вот вторую увы не нашел.

она есть - примерно такая:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"=C:\Program Files\uTorrent\uTorrent.exe
"WinHider"=c:\program files\adk's winhider\hide.exe
"Skype"=C:\Program Files\Skype\Phone\Skype.exe
"RocketDock"=C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

SaiTa

SaiTa

Опубликовано
  • Автор
Опубликовано

Извините, болел!

Вот полное сканирование:

mbam_log_2011_10_18__15_48_39_.txt

А вот ветка реестра:

2.zip

И еще, у меня программа MagicTunner много ресурса есть (она автоматически загружается), а может быть ее вообще удалить?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • foxlape
      Подозрения на вирус
      Автор foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Salieri
      Подозрения на вирус.
      Автор Salieri
      Здравствуйте, упала производительность, начал сильно греться, подозрения на вирус, логи ниже.CollectionLog-2024.01.21-21.42.zip
    • Player..
      Подозрение на вирусы
      Автор Player..
      Здравствуйте! Стал замечать неожиданное открытие консоли, на протяжении 2-х дней, так-же замедления в системе, мне кажется что вирус.
      Ниже прикрепляю логи!
      CollectionLog-2023.10.27-21.01.zip
    • Арслан1
      Подозрения на вирусы.
      Автор Арслан1
      Добрый вечер. Я часто обнаруживаю на своем телефоне (андроид) включённым геолокацию, хотя я его всё время отключаю. Я подозреваю что отслеживают моё местоположение. Подскажите пожалуйста как можно защититься от отслеживания моего местоположения с помощью продукта 
       Касперского, какой антивирус необходимо приобрести?
       
      Сообщение от модератора thyrex Перенесено из вирусобойни  
    • ANDREWvl
      Подозрения на вирусы
      Автор ANDREWvl
      Здравствуйте.
      Логи приложил.
      Подозрения возникли после того, как аваст на некоторых компах начал ругаться.
      безопасно прервано подключение к изза заражения  SMB:CVE-2017-0144
      Логи с сервера, к которому было подключение.
       
      на сервере заметил в programData папки 360safe, avast software, eset, everynote, grizzly, puzzle media и тд.
       
      Все созданы одной датой - позавчера
      Замечал еще такую папку - RDP WRAPPER. Через avz удалил
       
      Надеюсь ничего сильно страшного.
       
       
      ЗЫ. Скрипт сбора отработал только первую часть до перезагрузки. Перезагружать не стал - сервер все ж
       
      CollectionLog-2023.11.01-12.12.zip
      да, в эти папки из far2 не попасть - доступ запрещен
×
×
  • Создать...