Перейти к содержанию
Правила раздела

Подозрение на вирус. Странное поведение.

roberto

От roberto
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

roberto Постоялец

roberto

Опубликовано
Опубликовано

Подозрения начали возникать на вирус после того, как перестал открываться Office, было сообщение, что выполнена недопустимая операция и программа будет закрыта. Затем при запуске программыWebmoney Keeper было сервисное сообщение (Предотвращение выполнения данных). Для защиты компьютера эта программа была закрыта системой. Затем через пару дней в этот список программ была занесена другая программа. Затем я попробовал зайти в раздел Система - Дополнительно - Быстродействие - Предотвращение выполнения данных, чтобы там настроить вручную, либо исключить из списка программу, но там все заблокировано, как будто нет прав. хотя я захожу под администратором. Далее переодически начал пропадать (разрваться интереснет). При полной проверке на вирусы касперским, система как буд-то зависает. В общем. такого ранее не было, и это все содает неудобства, буду очень благодарен. если поможете в решении проблемя. Если надо я могу и выслать скрин как выглядит у меня окно Предотвращение выполения данных., о котором говорил выше.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 41
  • Created
  • Последний ответ

Top Posters In This Topic

  • roberto

    20

  • icotonev

    10

  • Roman_Five

    6

  • ska79

    2

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

icotonev Опытный

icotonev

Опубликовано
Опубликовано

roberto,Здравствуйте..!

 

"Заморозку" ice_time.dll деинсталлируйте..!

 

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, откроются два файла log.txt и info.txt, скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файлы c:\log.txt и c:\info.txt и прикрепите к сообщению.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано
roberto,Здравствуйте..!

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

 

roberto... это готовит?

Ссылка на комментарий
Поделиться на другие сайты
roberto Постоялец

roberto

Опубликовано
  • Автор
Опубликовано
roberto... это готовит?

 

Запустил сканирование, оно еще продолжается уже обнаружено на данный момент 35 обьектов. Жду завершения процесса

Ссылка на комментарий
Поделиться на другие сайты
roberto Постоялец

roberto

Опубликовано
  • Автор
Опубликовано
Спасибо .. Я так и думал..! ;)

Буду благодарен, если в 2=х словах расскажите что это может быть. пока еще проверяется, своеобразный ликбез так сказать и из=за чего это все появится могло

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано
Буду благодарен, если в 2=х словах расскажите что это может быть. пока еще проверяется, своеобразный ликбез так сказать и из=за чего это все появится могло

 

К сожалению, я еще не уверен, что именно является причиной вашей проблемы.Дневники сканирования с AVZ и RSIT не показывает ничего подозрительного....кроме программной библиотеки ice_time.dll, действие которой несовместимо с механизмом лицензионных ключей Лаборатории Касперского.

Ссылка на комментарий
Поделиться на другие сайты
roberto Постоялец

roberto

Опубликовано
  • Автор
Опубликовано

Прикрепляю лог Malwarebytes' Anti-Malware . А что мне делать по завершению сканирования? После сканирования открылось осно с предложением выбора удалить выделенные обьекты, но галки не на всех стоят обектах, а выборочно

mbam_log_2012_06_10__17_39_39_.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано

Повторите сканирование в MBAM и удалите только следующие строки:

 

Обнаруженные ключи в реестре:  19
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Действие не было предпринято.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Europa Casino (PUP.Casino) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\William Hill Casino (PUP.Casino) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\goldfishka (PUP.Casino.Gen) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\INSTALL.EXE (PUP.Casino.Gen) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:;бГzК;XAі0цm»Бµ -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры: VShareTB -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Параметры:  -> Действие не было предпринято.

Обнаруженные файлы:  16
C:\Program Files\vShare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\EuropaSetup_daa054.exe (PUP.Casino) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\GoldFishka_Setup.exe (PUP.Casino.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\My Documents\Загрузки\SetupCasino_3a2b2_ru.exe (PUP.Casino) -> Действие не было предпринято.
C:\Casino\Europa Casino\_EuropaSetup_daa054.exe (PUP.Casino) -> Действие не было предпринято.
C:\Casino\William Hill Casino\_SetupCasino_3a2b2_ru.exe (PUP.Casino) -> Действие не было предпринято.
C:\Microgaming\Casino\Goldfishka\install.exe (PUP.Casino.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-1275210071-1972579041-1417001333-500\Dc346.exe (Trojan.FakeAlert) -> Действие не было предпринято.
c:\recycler\s-1-5-21-1275210071-1972579041-1417001333-500\dc422.dll (PUP.HackTool.Ice) -> Действие не было предпринято.
C:\WINDOWS\system32\TOGGLEQL.EXE (Trojan.WinLock) -> Действие не было предпринято.
C:\WINDOWS\system32\SERVICE.VBS (Trojan.Agent) -> Действие не было предпринято.

Ссылка на комментарий
Поделиться на другие сайты
roberto Постоялец

roberto

Опубликовано
  • Автор
Опубликовано

Так мне ничего не удалять в сканере, а сразу нажать выход и запускать сканирование, а уже потом после повторного сканирования удалить? И в чем заключается удаление, как вы пишите "удалите только следующие строки", проставить галки и нажать удалить обьекты? Почему спрашиваю очередность7 потому. чтосканирование длится 1 час 20 минут.

post-25697-1339340572_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
roberto Постоялец

roberto

Опубликовано
  • Автор
Опубликовано

Удалил эти обекты. перегрузил компьютер и снова запустил сканер. Но, не знаю. конечно, устранилась ли проблема, но при запуске все равно, срабатывает Предотвращение выполнения данных. в общем. жду результатов повторного сканирования.

Ссылка на комментарий
Поделиться на другие сайты
roberto Постоялец

roberto

Опубликовано
  • Автор
Опубликовано

Результаты утилиты GetSystemInfo.

 

ссылка http://www.getsysteminfo.com/read.php?file...c9f882dac2d9eea

 

Удалил эти обекты. перегрузил компьютер и снова запустил сканер. Но, не знаю. конечно, устранилась ли проблема, но при запуске все равно, срабатывает Предотвращение выполнения данных. в общем. жду результатов повторного сканирования.

После удаления агентов повторное сканирование MBAM не обнаружило вредоносных обьектов.

GetSystemInfo_ROBERTO_Admin_2012_06_10_18_29_02.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tkm
      Подозрения на вирус/майнер
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • Control
      [РЕШЕНО] Подозрение на майнер
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • Артуp
      Подозрение на майнер
      От Артуp
      Использую обход ограничения дискорда и ютуба через скрипт, как в посте у данного пользователя. Но у меня компьютер сам включается, если его в сон закидывать. Что с этим делать? Вот Файл архива с образом автозапуска из uVS
       
      WIN-IP6ESJ6INRU_2025-01-01_21-10-23_v4.99.5v x64.7z
    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
×
×
  • Создать...