Подозрение на вирус. Странное поведение.

[roberto]

Подозрения начали возникать на вирус после того, как перестал открываться Office, было сообщение, что выполнена недопустимая операция и программа будет закрыта. Затем при запуске программыWebmoney Keeper было сервисное сообщение (Предотвращение выполнения данных). Для защиты компьютера эта программа была закрыта системой. Затем через пару дней в этот список программ была занесена другая программа. Затем я попробовал зайти в раздел Система - Дополнительно - Быстродействие - Предотвращение выполнения данных, чтобы там настроить вручную, либо исключить из списка программу, но там все заблокировано, как будто нет прав. хотя я захожу под администратором. Далее переодически начал пропадать (разрваться интереснет). При полной проверке на вирусы касперским, система как буд-то зависает. В общем. такого ранее не было, и это все содает неудобства, буду очень благодарен. если поможете в решении проблемя. Если надо я могу и выслать скрин как выглядит у меня окно Предотвращение выполения данных., о котором говорил выше.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[icotonev]

roberto,Здравствуйте..!

 

"Заморозку" ice_time.dll деинсталлируйте..!

 

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[roberto]

Заморозку удалил.

info.txt

log.txt

[icotonev]

roberto,Здравствуйте..!

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

 

roberto... это готовит?

[roberto]

roberto... это готовит?

 

Запустил сканирование, оно еще продолжается уже обнаружено на данный момент 35 обьектов. Жду завершения процесса

[icotonev]

Спасибо .. Я так и думал..!

[roberto]

Спасибо .. Я так и думал..!

Буду благодарен, если в 2=х словах расскажите что это может быть. пока еще проверяется, своеобразный ликбез так сказать и из=за чего это все появится могло

[icotonev]

Буду благодарен, если в 2=х словах расскажите что это может быть. пока еще проверяется, своеобразный ликбез так сказать и из=за чего это все появится могло

 

К сожалению, я еще не уверен, что именно является причиной вашей проблемы.Дневники сканирования с AVZ и RSIT не показывает ничего подозрительного....кроме программной библиотеки ice_time.dll, действие которой несовместимо с механизмом лицензионных ключей Лаборатории Касперского.

[roberto]

Прикрепляю лог Malwarebytes' Anti-Malware . А что мне делать по завершению сканирования? После сканирования открылось осно с предложением выбора удалить выделенные обьекты, но галки не на всех стоят обектах, а выборочно

mbam_log_2012_06_10__17_39_39_.txt

[icotonev]

Повторите сканирование в MBAM и удалите только следующие строки:

 

Обнаруженные ключи в реестре:  19
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Europa Casino (PUP.Casino) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\William Hill Casino (PUP.Casino) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\goldfishka (PUP.Casino.Gen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (PUP.Casino.Gen) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:;бГzК;XAі0цm»Бµ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: VShareTB -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.

Обнаруженные файлы:  16
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\EuropaSetup_daa054.exe (PUP.Casino) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\GoldFishka_Setup.exe (PUP.Casino.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\SetupCasino_3a2b2_ru.exe (PUP.Casino) -> Действие не было предпринято.
C:\Casino\Europa Casino\_EuropaSetup_daa054.exe (PUP.Casino) -> Действие не было предпринято.
C:\Casino\William Hill Casino\_SetupCasino_3a2b2_ru.exe (PUP.Casino) -> Действие не было предпринято.
C:\Microgaming\Casino\Goldfishka\install.exe (PUP.Casino.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1275210071-1972579041-1417001333-500\Dc346.exe (Trojan.FakeAlert) -> Действие не было предпринято.
c:\recycler\s-1-5-21-1275210071-1972579041-1417001333-500\dc422.dll (PUP.HackTool.Ice) -> Действие не было предпринято.
C:\WINDOWS\system32\TOGGLEQL.EXE (Trojan.WinLock) -> Действие не было предпринято.
C:\WINDOWS\system32\SERVICE.VBS (Trojan.Agent) -> Действие не было предпринято.

[roberto]

Так мне ничего не удалять в сканере, а сразу нажать выход и запускать сканирование, а уже потом после повторного сканирования удалить? И в чем заключается удаление, как вы пишите "удалите только следующие строки", проставить галки и нажать удалить обьекты? Почему спрашиваю очередность7 потому. чтосканирование длится 1 час 20 минут.

[icotonev]

Я имею в виду:

 

"..проставить галки ( только строки в моем посте) и нажать удалить.."

[roberto]

Удалил эти обекты. перегрузил компьютер и снова запустил сканер. Но, не знаю. конечно, устранилась ли проблема, но при запуске все равно, срабатывает Предотвращение выполнения данных. в общем. жду результатов повторного сканирования.

[icotonev]

+

 

Сделайте исследование утилитой GetSystemInfo

[roberto]

Результаты утилиты GetSystemInfo.

 

ссылка http://www.getsysteminfo.com/read.php?file...c9f882dac2d9eea

 

Удалил эти обекты. перегрузил компьютер и снова запустил сканер. Но, не знаю. конечно, устранилась ли проблема, но при запуске все равно, срабатывает Предотвращение выполнения данных. в общем. жду результатов повторного сканирования.

После удаления агентов повторное сканирование MBAM не обнаружило вредоносных обьектов.

GetSystemInfo_ROBERTO_Admin_2012_06_10_18_29_02.zip