Перейти к содержанию
Правила раздела

Подозрение на вирус. Странное поведение.

roberto

Автор roberto
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

roberto

roberto

Опубликовано
Опубликовано

Подозрения начали возникать на вирус после того, как перестал открываться Office, было сообщение, что выполнена недопустимая операция и программа будет закрыта. Затем при запуске программыWebmoney Keeper было сервисное сообщение (Предотвращение выполнения данных). Для защиты компьютера эта программа была закрыта системой. Затем через пару дней в этот список программ была занесена другая программа. Затем я попробовал зайти в раздел Система - Дополнительно - Быстродействие - Предотвращение выполнения данных, чтобы там настроить вручную, либо исключить из списка программу, но там все заблокировано, как будто нет прав. хотя я захожу под администратором. Далее переодически начал пропадать (разрваться интереснет). При полной проверке на вирусы касперским, система как буд-то зависает. В общем. такого ранее не было, и это все содает неудобства, буду очень благодарен. если поможете в решении проблемя. Если надо я могу и выслать скрин как выглядит у меня окно Предотвращение выполения данных., о котором говорил выше.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 41
  • Создана
  • Последний ответ

Топ авторов темы

  • roberto

    20

  • icotonev

    10

  • Roman_Five

    6

  • ska79

    2

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

icotonev

icotonev

Опубликовано
Опубликовано

roberto,Здравствуйте..!

 

"Заморозку" ice_time.dll деинсталлируйте..!

 

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Ссылка на комментарий
Поделиться на другие сайты
icotonev

icotonev

Опубликовано
Опубликовано
roberto,Здравствуйте..!

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

 

roberto... это готовит?

Ссылка на комментарий
Поделиться на другие сайты
roberto

roberto

Опубликовано
  • Автор
Опубликовано
roberto... это готовит?

 

Запустил сканирование, оно еще продолжается уже обнаружено на данный момент 35 обьектов. Жду завершения процесса

Ссылка на комментарий
Поделиться на другие сайты
roberto

roberto

Опубликовано
  • Автор
Опубликовано
Спасибо .. Я так и думал..! ;)

Буду благодарен, если в 2=х словах расскажите что это может быть. пока еще проверяется, своеобразный ликбез так сказать и из=за чего это все появится могло

Ссылка на комментарий
Поделиться на другие сайты
icotonev

icotonev

Опубликовано
Опубликовано
Буду благодарен, если в 2=х словах расскажите что это может быть. пока еще проверяется, своеобразный ликбез так сказать и из=за чего это все появится могло

 

К сожалению, я еще не уверен, что именно является причиной вашей проблемы.Дневники сканирования с AVZ и RSIT не показывает ничего подозрительного....кроме программной библиотеки ice_time.dll, действие которой несовместимо с механизмом лицензионных ключей Лаборатории Касперского.

Ссылка на комментарий
Поделиться на другие сайты
roberto

roberto

Опубликовано
  • Автор
Опубликовано

Прикрепляю лог Malwarebytes' Anti-Malware . А что мне делать по завершению сканирования? После сканирования открылось осно с предложением выбора удалить выделенные обьекты, но галки не на всех стоят обектах, а выборочно

mbam_log_2012_06_10__17_39_39_.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev

icotonev

Опубликовано
Опубликовано

Повторите сканирование в MBAM и удалите только следующие строки:

 

Обнаруженные ключи в реестре:  19
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Europa Casino (PUP.Casino) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\William Hill Casino (PUP.Casino) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\goldfishka (PUP.Casino.Gen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (PUP.Casino.Gen) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:;бГzК;XAі0цm»Бµ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: VShareTB -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.

Обнаруженные файлы:  16
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\EuropaSetup_daa054.exe (PUP.Casino) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\GoldFishka_Setup.exe (PUP.Casino.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\SetupCasino_3a2b2_ru.exe (PUP.Casino) -> Действие не было предпринято.
C:\Casino\Europa Casino\_EuropaSetup_daa054.exe (PUP.Casino) -> Действие не было предпринято.
C:\Casino\William Hill Casino\_SetupCasino_3a2b2_ru.exe (PUP.Casino) -> Действие не было предпринято.
C:\Microgaming\Casino\Goldfishka\install.exe (PUP.Casino.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1275210071-1972579041-1417001333-500\Dc346.exe (Trojan.FakeAlert) -> Действие не было предпринято.
c:\recycler\s-1-5-21-1275210071-1972579041-1417001333-500\dc422.dll (PUP.HackTool.Ice) -> Действие не было предпринято.
C:\WINDOWS\system32\TOGGLEQL.EXE (Trojan.WinLock) -> Действие не было предпринято.
C:\WINDOWS\system32\SERVICE.VBS (Trojan.Agent) -> Действие не было предпринято.

Ссылка на комментарий
Поделиться на другие сайты
roberto

roberto

Опубликовано
  • Автор
Опубликовано

Так мне ничего не удалять в сканере, а сразу нажать выход и запускать сканирование, а уже потом после повторного сканирования удалить? И в чем заключается удаление, как вы пишите "удалите только следующие строки", проставить галки и нажать удалить обьекты? Почему спрашиваю очередность7 потому. чтосканирование длится 1 час 20 минут.

post-25697-1339340572_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
roberto

roberto

Опубликовано
  • Автор
Опубликовано

Удалил эти обекты. перегрузил компьютер и снова запустил сканер. Но, не знаю. конечно, устранилась ли проблема, но при запуске все равно, срабатывает Предотвращение выполнения данных. в общем. жду результатов повторного сканирования.

Ссылка на комментарий
Поделиться на другие сайты
roberto

roberto

Опубликовано
  • Автор
Опубликовано

Результаты утилиты GetSystemInfo.

 

ссылка http://www.getsysteminfo.com/read.php?file...c9f882dac2d9eea

 

Удалил эти обекты. перегрузил компьютер и снова запустил сканер. Но, не знаю. конечно, устранилась ли проблема, но при запуске все равно, срабатывает Предотвращение выполнения данных. в общем. жду результатов повторного сканирования.

После удаления агентов повторное сканирование MBAM не обнаружило вредоносных обьектов.

GetSystemInfo_ROBERTO_Admin_2012_06_10_18_29_02.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • aminjik
      Подозрение на вирусы после проверки
      Автор aminjik
      Здравствуйте!
      Проверил систему на вирусы с помощью kvrt
      Были обнаружены два вируса
      Trojan.Win32.Agentb.kwqa
      Trojan.Win64.Reflo.his
      Один в Exe файле, другой в образе iso
      Образ использовался на виртуальной машине, а exe запускался давно и был он в игре.
      Сейчас оба удалены и по этой причине пишу сюда
      Спасибо
      CollectionLog-2025.06.15-19.17.zip
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...