chyb74 Опубликовано 17 ноября, 2012 Поделиться Опубликовано 17 ноября, 2012 Здравствуйте. во вложении логи скана, не могу понять что за файлы в автозагрузке. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 17 ноября, 2012 Поделиться Опубликовано 17 ноября, 2012 деинсталлируйте Ticno Tabs пофиксите в Hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=3PM0WR3D_ST3400833AS&ts=1352878105 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=3PM0WR3D_ST3400833AS&ts=1352878105 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=fox&from=fox&uid=3PM0WR3D_ST3400833AS&ts=1352878105 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: Proxy Help - {F386E548-C533-472E-8C61-C026FB14FEA9} - C:\WINDOWS\system32\Newtabs_v9.dll Проверьте компьютер утилитой TDSSkiller из данной статьи. http://support.kaspersky.ru/faq/?qid=208639606 Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях. Полученный лог из корня диска С приложите к новому сообщению. Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Обновите базы. После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить"). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 17 ноября, 2012 Автор Поделиться Опубликовано 17 ноября, 2012 Вот лог. вот лог от malvarebytes Найденные объекты удалять? TDSSKiller.2.8.15.0_17.11.2012_12.41.32_log.txt mbam_log_2012_11_17__13_36_10_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 17 ноября, 2012 Поделиться Опубликовано 17 ноября, 2012 Удалите в MBAM только следующие объекты: Обнаруженные ключи в реестре: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F386E548-C533-472E-8C61-C026FB14FEA9} (Trojan.Agent) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F386E548-C533-472E-8C61-C026FB14FEA9} (Trojan.Agent) -> Действие не было предпринято. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 19 C:\Documents and Settings\Admin\Local Settings\Temp\tmp9854435dg.dll (Malware.Gen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\ibkyuz1j.gsa\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\jc2enmwv.mif\vkracker-full.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\je0gfhbk.s5q\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\v5nkcyx5.sgx\vkracker-full.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\yx0ff4vb.isb\vkracker-full.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\ojlrdk4t.vzk\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\tajdz00v.pih\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\ca1lolpu.zns\vkracker-neo.exe (Trojan.MSIL) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\102421315.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\632884874.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято. C:\Documents and Settings\Admin\Local Settings\Temp\857122038.exe (Trojan.FakeAlert.Gen) -> Действие не было предпринято. После удаления откройте лог и прикрепите его к сообщению. Файлы C:\Documents and Settings\Admin\Мои документы\Загрузки\miniinstall.exe C:\Documents and Settings\Admin\Мои документы\Downloads\DownloadManagerSetup.exe C:\Documents and Settings\Admin\Мои документы\Downloads\MediaGet_id3756152id.exe C:\Documents and Settings\Admin\Рабочий стол\company_of_heroes_2006_pc_id1884855id.exe C:\Program Files\Neo_team\ICQ system CRUSHER!\ICQ system-CRUSHER v1.5.exe проверьте на virustotal.com 5 ссылок на результаты проверки приложите. сделайте новые логи MBAM и RSIT Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 18 ноября, 2012 Автор Поделиться Опубликовано 18 ноября, 2012 Вот лог с MBAM и с virustotal mbam_log_2012_11_18__12_32_22_.txt ссылки_проверки.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 18 ноября, 2012 Поделиться Опубликовано 18 ноября, 2012 сделайте новые логи ... RSIT ссылки https://www.virustotal.com/file/3459292bc4c...779da/analysis/ https://www.virustotal.com/file/cd9fe318dd9...sis/1353219576/ https://www.virustotal.com/file/4f4ea1f534d...27cbb/analysis/ https://www.virustotal.com/file/5a1db9759eb...sis/1353219864/ https://www.virustotal.com/file/7c79bfc42a1...sis/1353219977/ повторите удаление в MBAM Обнаруженные ключи в реестре: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято. Обнаруженные файлы: 4 C:\Documents and Settings\Admin\Мои документы\Загрузки\miniinstall.exe (PUP.BundleInstaller.ML) -> Действие не было предпринято. C:\Documents and Settings\Admin\Мои документы\Downloads\DownloadManagerSetup.exe (PUP.Adware.InstallCore) -> Действие не было предпринято. C:\Documents and Settings\Admin\Мои документы\Downloads\MediaGet_id3756152id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Documents and Settings\Admin\Рабочий стол\company_of_heroes_2006_pc_id1884855id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. новый лог приложите Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt. Прикрепите отчет к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 18 ноября, 2012 Автор Поделиться Опубликовано 18 ноября, 2012 И вот ещё лог с RSIT. лог с RSIT похоже не отправился пробую ещё раз лог с AdwCleaner (by Xplode) новый лог не то отправил вот hijackthis.log hijackthis.log AdwCleaner_R1_.txt protection_log_2012_11_18.txt mbam_log_2012_11_18__13_34_32_.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 18 ноября, 2012 Поделиться Опубликовано 18 ноября, 2012 Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[s1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления может потребоваться перезагрузка компьютера! И вот ещё лог с RSIT. где? деинсталлируйте MBAM Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 18 ноября, 2012 Автор Поделиться Опубликовано 18 ноября, 2012 деинсталировал и после перезагрузки сделал логи AdwCleaner_S1_.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Tiare Опубликовано 18 ноября, 2012 Поделиться Опубликовано 18 ноября, 2012 Известно, что это? ======Папка назначеных зданий====== C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job Если нет, то Откройте Пуск - Панель Управления - Назначенные задания - по заданию ПКМ - Свойства - Скопируйте содержимое строки Run и покажите его здесь (по всем 4 файлам). log.txt; info.txt, которые по умолчанию сохраняются в одноименной папке (т. е. в папке RSIT) в корне системного диска. ? Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 18 ноября, 2012 Автор Поделиться Опубликовано 18 ноября, 2012 в папке назначенных заданий в строке run запись не копируется и ничего не активно. Могу в ручную попробовать переписать. Это какой exe шник от мфу вот как выглядит: HP\HP Deskjet 2050 J510 series\Bin\HPCustPartic.exe это At1 Почемуто все 4 файла одинаковые а расписание разное везде. Я правильно понял run это строка которая выполнить? info.txt log.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
thyrex Опубликовано 18 ноября, 2012 Поделиться Опубликовано 18 ноября, 2012 Откройте каждый из файлов C:\WINDOWS\tasks\At1.jobC:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job в Блокноте и процитируйте их содержимое Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 18 ноября, 2012 Автор Поделиться Опубликовано 18 ноября, 2012 Может я что не так делаю, но на всех остальных получается а на этих 4х ни чего не активно. могу общий журнал скопировать в общем журнале записи такого характера "At3.job" (HPCustPartic.exe) Началось в 18.11.2012 14:33:00 "At3.job" (HPCustPartic.exe) Закончилось в 18.11.2012 14:33:00 Итог: Задание завершено с кодом (0). а если через пуск-выполнить открыть этот файл в блокноте то какието каракули пишит agИѓWXAґ—dо[:]пF Z < s !Ь E C : \ P r o g r a m F i l e s \ H P \ H P D e s k j e t 2 0 5 0 J 5 1 0 s e r i e s \ B i n \ H P C u s t P a r t i c . e x e / U A 9 . 1 / D D V 0 x 0 8 0 0 " S Y S T E M !>AB02;5=> N e t S c h e d u l e J o b A d d . 0 Ь яяяяд «™*hf7ГV+їщF$cДОwЅ"'ХјpPЉ}сp¶QЦu«‡яћЦУџ€ДeЮ”7ђ§¦ЩЧ‰~YхзIџЮЇ Ссылка на комментарий Поделиться на другие сайты Поделиться
Roman_Five Опубликовано 19 ноября, 2012 Поделиться Опубликовано 19 ноября, 2012 задания не вредоносные, но какие-то "мутные". можете удалить эти 4 файлы, при желании. на этом всё. Ссылка на комментарий Поделиться на другие сайты Поделиться
chyb74 Опубликовано 19 ноября, 2012 Автор Поделиться Опубликовано 19 ноября, 2012 Огромное спасибо за помощь. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти