tarantas Опубликовано 17 августа, 2013 Share Опубликовано 17 августа, 2013 здравствуйте. после посещения и скачивания программ с этого сайта nnm-club.ru в мой домик поселились непрошенные гости. временами стала появляться надпись над панелью задач монитора "PrefetchForm" или "DummyForm", иногда эти надписи появляются при антивирусной проверке, а иногда при перезагрузке компа выдается сообщение, что "PrefetchForm" или "DummyForm" не дает перегрузить комп. периодически замеченно увеличение расхода оперативной памяти на холостом ходу компа и в последующей работе аппарата,(стартовая память при включении и загрузке компа 1,00-1,2 Гига на холостом ходу, проверенно временем).но проблема в том, что три антивирусных программы по разному реагируют на события. авз4 изначально стало показывать наличие вирусов в домике, кис2013 не видел иногда проблему, а убивал их по мере поступления баз,(скрин)но не всегда. сегодня сканер "суперантиспайваер" выявил еще пару адварей и одного трояна системе, и это после полной проверки кисом2013. приходиться ползоваться несколькими сканерами поочередно, кис2013 главное оружие, авз4 и суперантиспайваер ручные работники. но проблема остается и бороться с вирусами самостоятельно тяжело и нервнопаралитически для психики обывателя...прошу помощи у спецов в этой области. virusinfo_syscheck.zip virusinfo_syscheck.xml virusinfo_syscheck.htm hijackthis.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 17 августа, 2013 Share Опубликовано 17 августа, 2013 C:\Program Files (x86)\Acer\clear.fi - что за файл? Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\ASPIRE~1\AppData\Local\Temp\launchie.vbs',''); BC_ImportAll; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 18 августа, 2013 Автор Share Опубликовано 18 августа, 2013 C:\Program Files (x86)\Acer\clear.fi - что за файл? не знаю, возможно какой то файл от производителя компов acer. авто ответ от лк KLAN-970340684 после выполнения скриптов авз по заданию, эти строки... "C:\Users\Aspire V3\Desktop\Дистрибутивы\CorelDRAW Graphics Suite X6 16.3.0.1114 SP3 Special Edition RePack by A.L.E.X\Content\patches\162_Langs_T3_x64.msp/{MS-OLE}/\#CS_162ToCS_163\84 >>>>> Trojan.Killpar.b C:\Users\Aspire V3\Music\Музыка кино 2\Инструментальная музыка из кинофильма Титаник - титаник финал (audiopoisk.com).mp3 - PE файл с нестандартным расширением(степень опасности 5%) Файл успешно помещен в карантин (C:\Users\Aspire V3\Music\Музыка кино 2\Инструментальная музыка из кинофильма Титаник - титаник финал (audiopoisk.com).mp3) C:\Users\Aspire V3\Music\Музыка кино 2\Музыка и песни из кинофильмов Леонида Гайдая - Остров невезения (Блиллиантовая рука) (audiopoisk.com).mp3 - PE файл с нестандартным расширением(степень опасности 5%) C:\Windows\Installer\$PatchCache$\Managed\4A27EA72712BCDC48BB233119E7D64E0\16.1.0\policy.16.0.corel.interop.co - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)" - в повторном отчете исчезли, но проблема выпадающей строки "prefetchform" осталась. она часто стала появляться при выполнения скрипта авз по нескольку раз за сеанс. в обычном режиме компа этого не замечалось сегодня. а эти строки выделенные красным цветом в старом и новом отчете авз попрежнему мне не понятны. nel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587BBD2->7796E524 Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587BC05->7796E548 Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE138->6E2312A3 Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDDE58->6E2134CF Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE1E8->6E229925 Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE138->6E2312A3 Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDDE58->6E2134CF Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE1E8->6E229925 Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DB633->6E213537 Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DC784->6E26C5DF благодарю за первоначальную помощь Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 18 августа, 2013 Автор Share Опубликовано 18 августа, 2013 выпадающая строка "PrefetchForm" при работе утилиты авз по нескольку раз за сеанс (замечено сегодня) дествовала на мозг раздражающе. Возможно, какая то сволочь осталась после выполнения скрипта авз и продолжает передовать азбуку морзе в эфир... а так же, сегодня при дежурной перезагрузке выпал текст "PrefetchForm-это приложение не дает перегрузить комп..", чеши не чеши репу, этого приложения на своем компе http://www.acer.ru/ac/ru/RU/content/series/aspirev3 я не нашел. можно вывернуть мозг на изнанку в поисках чего то, что спрятано у тебя под пластиком и так и не узнаешь... нужна информация по этому вопросу Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 18 августа, 2013 Share Опубликовано 18 августа, 2013 зачем "плодить" темы? авто ответ от лк KLAN-970340684 где? где новые логи? Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 18 августа, 2013 Автор Share Опубликовано 18 августа, 2013 все логи в первой теме. нового нет ничего. последний отчет (лог)весит 99,8 мб. он сюда не лезит. вот выдержки из него 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\nvinit.dll" рано я обрадовался тому что увидел в отчете авз при полном сканировании. отчет показал-вредоносных программ 1, подозрений 0. мозги уже паряться ищя в отчете строку, которую надо для инфо.. а у меня есть тоже подозрения...поэтому и прошу помощи, я что, один такой у кого полным полна коробочка... вот лог random's system information tool 1.09 log.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 18 августа, 2013 Share Опубликовано 18 августа, 2013 Скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup-<current number>.exe Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее..."). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Сделайте лог AdwCleaner http://safezone.cc/forum/showthread.php?t=19726 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 18 августа, 2013 Автор Share Опубликовано 18 августа, 2013 всем спасибо за помощь. до связи... пс будет лог...ждите Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 18 августа, 2013 Share Опубликовано 18 августа, 2013 И сделайте лог GSI http://forum.kasperskyclub.ru/index.php?showtopic=7611&view=findpost&p=55906 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 18 августа, 2013 Автор Share Опубликовано 18 августа, 2013 кто бы мне вчера бы подсказал про антималваре. вчера закачал ее, полное сканирование показало 122 штуки партизанов,но это уже в прошлом. завтра будут логи от анти малваре. всем спокойной ночи. на сегодня все. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 18 августа, 2013 Share Опубликовано 18 августа, 2013 вот лог random's system information tool 1.09 а где info.txt ? приложите лог - решим без антималваре. Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 19 августа, 2013 Автор Share Опубликовано 19 августа, 2013 инфо текст от какой утилиты. я сам уже запутался во всех этих текстах,логах и зипах. укажите конкретно что нужно сделать в дополнении ко всему, чтобы мы поняли друг друга. утилита антималваре уже молотит и есть один партизан, отчет будет. для инфо,www.nsa.gov, можете просканировать этот сайт на фишинг, а то слишком часто кис 2014 стал выдавать информационное сообщение о том, что этот сайт занесен в базу данных антифишинговых подозрений... и этот сайт тоже www.yug-design.ru, а этот ресурс попал конкретно в базу данных кис2013/2014 по фишингу, хотя это нормальный сайт для бизнеса. вот отчеты MBAM-log-2013-08-19 (09-57-29).txt GetSystemInfo_ACER-V3_Aspire V3_2013_08_19_09_52_03.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 19 августа, 2013 Share Опубликовано 19 августа, 2013 инфо текст от какой утилиты. RSIT для инфо,www.nsa.gov, можете просканировать этот сайт на фишинг, а то слишком часто кис 2014 стал выдавать информационное сообщение о том, что этот сайт занесен в базу данных антифишинговых подозрений... и этот сайт тоже www.yug-design.ru, а этот ресурс попал конкретно в базу данных кис2013/2014 по фишингу, хотя это нормальный сайт для бизнеса. пишите в https://my.kaspersky.com/ru/support/content деинсталлируйте => SUPERAntiSpyware => Malwarebytes Anti-Malware, версия 1.75.0.1300 очистите временные папки: C:\Users\Aspire V3\AppData\Local\Temp\ нет ещё лога AdwCleaner и самое главное - деинсталлируйте Acer Instant Update Service. ваши основные проблемы - от этой программы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
tarantas Опубликовано 19 августа, 2013 Автор Share Опубликовано 19 августа, 2013 вот лог жду ответа, пока не буду ничего удалять до полного вашего ответа AdwCleanerR1.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 19 августа, 2013 Share Опубликовано 19 августа, 2013 выполняйте всё выше рекомендованное + запустите ещё раз AdwCleaner и нажмите Delete новый лог приложите. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения