файлы в автозагрузке

[chyb74]

Здравствуйте. во вложении логи скана, не могу понять что за файлы в автозагрузке.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

деинсталлируйте Ticno Tabs

 

 

пофиксите в Hijackthis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=3PM0WR3D_ST3400833AS&ts=1352878105
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=3PM0WR3D_ST3400833AS&ts=1352878105
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=3PM0WR3D_ST3400833AS&ts=1352878105
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Proxy Help - {F386E548-C533-472E-8C61-C026FB14FEA9} - C:\WINDOWS\system32\Newtabs_v9.dll

 

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[chyb74]

Вот лог.

 

вот лог от malvarebytes

 

Найденные объекты удалять?

TDSSKiller.2.8.15.0_17.11.2012_12.41.32_log.txt

mbam_log_2012_11_17__13_36_10_.txt

[Roman_Five]

Удалите в MBAM только следующие объекты:

Обнаруженные ключи в реестре:  6
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F386E548-C533-472E-8C61-C026FB14FEA9} (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F386E548-C533-472E-8C61-C026FB14FEA9} (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.

Обнаруженные файлы:  19
C:\Documents and Settings\Admin\Local Settings\Temp\tmp9854435dg.dll (Malware.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ibkyuz1j.gsa\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\jc2enmwv.mif\vkracker-full.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\je0gfhbk.s5q\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\v5nkcyx5.sgx\vkracker-full.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\yx0ff4vb.isb\vkracker-full.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ojlrdk4t.vzk\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\tajdz00v.pih\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\ca1lolpu.zns\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\102421315.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\632884874.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temp\857122038.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято.

После удаления откройте лог и прикрепите его к сообщению.

 

Файлы

C:\Documents and Settings\Admin\Мои документы\Загрузки\miniinstall.exe
C:\Documents and Settings\Admin\Мои документы\Downloads\DownloadManagerSetup.exe
C:\Documents and Settings\Admin\Мои документы\Downloads\MediaGet_id3756152id.exe
C:\Documents and Settings\Admin\Рабочий стол\company_of_heroes_2006_pc_id1884855id.exe
C:\Program Files\Neo_team\ICQ system CRUSHER!\ICQ system-CRUSHER v1.5.exe

проверьте на virustotal.com

 

5 ссылок на результаты проверки приложите.

 

 

 

 

сделайте новые логи MBAM и RSIT

[chyb74]

Вот лог с MBAM и с virustotal

mbam_log_2012_11_18__12_32_22_.txt

ссылки_проверки.txt

[Roman_Five]

сделайте новые логи ... RSIT

 

ссылки

https://www.virustotal.com/file/3459292bc4c...779da/analysis/

https://www.virustotal.com/file/cd9fe318dd9...sis/1353219576/

https://www.virustotal.com/file/4f4ea1f534d...27cbb/analysis/

https://www.virustotal.com/file/5a1db9759eb...sis/1353219864/

https://www.virustotal.com/file/7c79bfc42a1...sis/1353219977/

 

повторите удаление в MBAM

Обнаруженные ключи в реестре: 2

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
Обнаруженные файлы:  4
C:\Documents and Settings\Admin\Мои документы\Загрузки\miniinstall.exe (PUP.BundleInstaller.ML) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Мои документы\Downloads\MediaGet_id3756152id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Рабочий стол\company_of_heroes_2006_pc_id1884855id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.

 

 

новый лог приложите

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
  
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
  
• Прикрепите отчет к своему следующему сообщению.
  

[chyb74]

И вот ещё лог с RSIT.

 

лог с RSIT похоже не отправился пробую ещё раз

 

лог с AdwCleaner (by Xplode)

 

новый лог

 

не то отправил вот

hijackthis.log

hijackthis.log

AdwCleaner_R1_.txt

protection_log_2012_11_18.txt

mbam_log_2012_11_18__13_34_32_.txt

[Roman_Five]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
  
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[s1].txt.
  
• Прикрепите отчет к своему следующему сообщению
  

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!

 

И вот ещё лог с RSIT.

где?

 

деинсталлируйте MBAM

[chyb74]

деинсталировал и после перезагрузки сделал логи

AdwCleaner_S1_.txt

log.txt

[Tiare]

Известно, что это?

======Папка назначеных зданий======

 

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At4.job

 

Если нет, то

 

Откройте Пуск - Панель Управления - Назначенные задания - по заданию ПКМ - Свойства - Скопируйте содержимое строки Run и покажите его здесь (по всем 4 файлам).

 

 

log.txt;

info.txt,

которые по умолчанию сохраняются в одноименной папке (т. е. в папке RSIT) в корне системного диска.

?

[chyb74]

в папке назначенных заданий в строке run запись не копируется и ничего не активно. Могу в ручную попробовать переписать. Это какой exe шник от мфу

вот как выглядит: HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe это At1

 

Почемуто все 4 файла одинаковые а расписание разное везде. Я правильно понял run это строка которая выполнить?

info.txt

log.txt

[thyrex]

Откройте каждый из файлов

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At4.job

в Блокноте и процитируйте их содержимое

[chyb74]

Может я что не так делаю, но на всех остальных получается а на этих 4х ни чего не активно.

 

могу общий журнал скопировать

 

в общем журнале записи такого характера "At3.job" (HPCustPartic.exe)

Началось в 18.11.2012 14:33:00

"At3.job" (HPCustPartic.exe)

Закончилось в 18.11.2012 14:33:00

Итог: Задание завершено с кодом (0).

 

а если через пуск-выполнить открыть этот файл в блокноте то какието каракули пишит

agИѓWXAґ—dо[:]пF Z <

s  !Ь

 

E C : \ P r o g r a m F i l e s \ H P \ H P D e s k j e t 2 0 5 0 J 5 1 0 s e r i e s \ B i n \ H P C u s t P a r t i c . e x e / U A 9 . 1 / D D V 0 x 0 8 0 0 " S Y S T E M !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Ь

 

 

яяяяд «™*hf7ГV+їщF$cДОwЅ"'ХјpPЉ}сp¶QЦu«‡яћЦУџ€ДeЮ”7ђ§¦ЩЧ‰~YхзIџЮЇ

[Roman_Five]

задания не вредоносные, но какие-то "мутные".

можете удалить эти 4 файлы, при желании.

 

на этом всё.

[chyb74]

Огромное спасибо за помощь.