Перейти к содержанию
Авторизация  
tarantas

Вирусология

Рекомендуемые сообщения

здравствуйте.

после посещения и скачивания программ с этого сайта nnm-club.ru в мой домик поселились непрошенные гости. временами стала появляться надпись над панелью задач монитора "PrefetchForm" или "DummyForm", иногда эти надписи появляются при антивирусной проверке, а иногда при перезагрузке компа выдается сообщение, что "PrefetchForm" или "DummyForm" не дает перегрузить комп.

периодически замеченно увеличение расхода оперативной памяти на холостом ходу компа и в последующей работе аппарата,(стартовая память при включении и загрузке компа 1,00-1,2 Гига на холостом ходу, проверенно временем).но проблема в том, что три антивирусных программы по разному реагируют на события. авз4 изначально стало показывать наличие вирусов в домике, кис2013 не видел иногда проблему, а убивал их по мере поступления баз,(скрин)но не всегда. сегодня сканер "суперантиспайваер" выявил еще пару адварей и одного трояна системе, и это после полной проверки кисом2013. приходиться ползоваться несколькими сканерами поочередно, кис2013 главное оружие, авз4 и суперантиспайваер ручные работники. но проблема остается и бороться с вирусами самостоятельно тяжело и нервнопаралитически для психики обывателя...прошу помощи у спецов в этой области.

virusinfo_syscheck.zip

virusinfo_syscheck.xml

virusinfo_syscheck.htm

hijackthis.log

post-29141-0-68452500-1376752654_thumb.png

post-29141-0-79072300-1376752824_thumb.png

post-29141-0-98340400-1376752831_thumb.png

post-29141-0-48425200-1376752839_thumb.png

post-29141-0-42860400-1376752848_thumb.png

post-29141-0-10820800-1376752855_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C:\Program Files (x86)\Acer\clear.fi - что за файл?

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Users\ASPIRE~1\AppData\Local\Temp\launchie.vbs','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

C:\Program Files (x86)\Acer\clear.fi - что за файл?

не знаю, возможно какой то файл от производителя компов acer.

авто ответ от лк KLAN-970340684

 

после выполнения скриптов авз по заданию, эти строки...

"C:\Users\Aspire V3\Desktop\Дистрибутивы\CorelDRAW Graphics Suite X6 16.3.0.1114 SP3 Special Edition RePack by A.L.E.X\Content\patches\162_Langs_T3_x64.msp/{MS-OLE}/\#CS_162ToCS_163\84 >>>>> Trojan.Killpar.b

C:\Users\Aspire V3\Music\Музыка кино 2\Инструментальная музыка из кинофильма Титаник - титаник финал (audiopoisk.com).mp3 - PE файл с нестандартным расширением(степень опасности 5%)

Файл успешно помещен в карантин (C:\Users\Aspire V3\Music\Музыка кино 2\Инструментальная музыка из кинофильма Титаник - титаник финал (audiopoisk.com).mp3)

C:\Users\Aspire V3\Music\Музыка кино 2\Музыка и песни из кинофильмов Леонида Гайдая - Остров невезения (Блиллиантовая рука) (audiopoisk.com).mp3 - PE файл с нестандартным расширением(степень опасности 5%)

C:\Windows\Installer\$PatchCache$\Managed\4A27EA72712BCDC48BB233119E7D64E0\16.1.0\policy.16.0.corel.interop.co - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)"

- в повторном отчете исчезли, но проблема выпадающей строки "prefetchform" осталась. она часто стала появляться при выполнения скрипта авз по нескольку раз за сеанс. в обычном режиме компа этого не замечалось сегодня.

а эти строки выделенные красным цветом в старом и новом отчете авз попрежнему мне не понятны.

 

nel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587BBD2->7796E524

Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587BC05->7796E548

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE138->6E2312A3

Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDDE58->6E2134CF

Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE1E8->6E229925

Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE138->6E2312A3

Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDDE58->6E2134CF

Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE1E8->6E229925

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DB633->6E213537

Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DC784->6E26C5DF

 

благодарю за первоначальную помощь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

выпадающая строка "PrefetchForm" при работе утилиты авз по нескольку раз за сеанс (замечено сегодня) дествовала на мозг раздражающе. Возможно, какая то сволочь осталась после выполнения скрипта авз и продолжает передовать азбуку морзе в эфир...

а так же, сегодня при дежурной перезагрузке выпал текст "PrefetchForm-это приложение не дает перегрузить комп..", чеши не чеши репу, этого приложения на своем компе http://www.acer.ru/ac/ru/RU/content/series/aspirev3 я не нашел. можно вывернуть мозг на изнанку в поисках чего то, что спрятано у тебя под пластиком и так и не узнаешь...

нужна информация по этому вопросу

post-29141-0-87744500-1376859240_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

зачем "плодить" темы?

 

авто ответ от лк KLAN-970340684

где?

 

где новые логи?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

все логи в первой теме. нового нет ничего.

 

последний отчет (лог)весит 99,8 мб. он сюда не лезит. вот выдержки из него

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\nvinit.dll"

рано я обрадовался тому что увидел в отчете авз при полном сканировании. отчет показал-вредоносных программ 1, подозрений 0.

мозги уже паряться ищя в отчете строку, которую надо для инфо..

 

а у меня есть тоже подозрения...поэтому и прошу помощи, я что, один такой у кого полным полна коробочка...

 

вот лог random's system information tool 1.09

log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

всем спасибо за помощь. до связи...

 

пс будет лог...ждите

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

кто бы мне вчера бы подсказал про антималваре. вчера закачал ее, полное сканирование показало 122 штуки партизанов,но это уже в прошлом. завтра будут логи от анти малваре. всем спокойной ночи. на сегодня все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вот лог random's system information tool 1.09

а где info.txt ?

 

приложите лог - решим без антималваре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

инфо текст от какой утилиты. я сам уже запутался во всех этих текстах,логах и зипах. укажите конкретно что нужно сделать в дополнении ко всему, чтобы мы поняли друг друга. утилита антималваре уже молотит и есть один партизан, отчет будет.

 

для инфо,www.nsa.gov, можете просканировать этот сайт на фишинг, а то слишком часто кис 2014 стал выдавать информационное сообщение о том, что этот сайт занесен в базу данных антифишинговых подозрений... и этот сайт тоже www.yug-design.ru, а этот ресурс попал конкретно в базу данных кис2013/2014 по фишингу, хотя это нормальный сайт для бизнеса.

 

вот отчеты

MBAM-log-2013-08-19 (09-57-29).txt

GetSystemInfo_ACER-V3_Aspire V3_2013_08_19_09_52_03.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

инфо текст от какой утилиты.

RSIT

 

для инфо,www.nsa.gov, можете просканировать этот сайт на фишинг, а то слишком часто кис 2014 стал выдавать информационное сообщение о том, что этот сайт занесен в базу данных антифишинговых подозрений... и этот сайт тоже www.yug-design.ru, а этот ресурс попал конкретно в базу данных кис2013/2014 по фишингу, хотя это нормальный сайт для бизнеса.

пишите в https://my.kaspersky.com/ru/support/content

 

деинсталлируйте

=> SUPERAntiSpyware

=> Malwarebytes Anti-Malware, версия 1.75.0.1300

 

очистите временные папки:

C:\Users\Aspire V3\AppData\Local\Temp\

 

нет ещё лога AdwCleaner

 

и самое главное - деинсталлируйте Acer Instant Update Service.

ваши основные проблемы - от этой программы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

выполняйте всё выше рекомендованное

+

запустите ещё раз AdwCleaner и нажмите Delete

новый лог приложите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×
×
  • Создать...