Вирусология

[tarantas 1]

здравствуйте.

после посещения и скачивания программ с этого сайта nnm-club.ru в мой домик поселились непрошенные гости. временами стала появляться надпись над панелью задач монитора "PrefetchForm" или "DummyForm", иногда эти надписи появляются при антивирусной проверке, а иногда при перезагрузке компа выдается сообщение, что "PrefetchForm" или "DummyForm" не дает перегрузить комп.

периодически замеченно увеличение расхода оперативной памяти на холостом ходу компа и в последующей работе аппарата,(стартовая память при включении и загрузке компа 1,00-1,2 Гига на холостом ходу, проверенно временем).но проблема в том, что три антивирусных программы по разному реагируют на события. авз4 изначально стало показывать наличие вирусов в домике, кис2013 не видел иногда проблему, а убивал их по мере поступления баз,(скрин)но не всегда. сегодня сканер "суперантиспайваер" выявил еще пару адварей и одного трояна системе, и это после полной проверки кисом2013. приходиться ползоваться несколькими сканерами поочередно, кис2013 главное оружие, авз4 и суперантиспайваер ручные работники. но проблема остается и бороться с вирусами самостоятельно тяжело и нервнопаралитически для психики обывателя...прошу помощи у спецов в этой области.

virusinfo_syscheck.zip

virusinfo_syscheck.xml

virusinfo_syscheck.htm

hijackthis.log

[thyrex 1 468]

C:\Program Files (x86)\Acer\clear.fi - что за файл?

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
 begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
 end;
QuarantineFile('C:\Users\ASPIRE~1\AppData\Local\Temp\launchie.vbs','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

[tarantas 1]

C:\Program Files (x86)\Acer\clear.fi - что за файл?

не знаю, возможно какой то файл от производителя компов acer.

авто ответ от лк KLAN-970340684

 

после выполнения скриптов авз по заданию, эти строки...

"C:\Users\Aspire V3\Desktop\Дистрибутивы\CorelDRAW Graphics Suite X6 16.3.0.1114 SP3 Special Edition RePack by A.L.E.X\Content\patches\162_Langs_T3_x64.msp/{MS-OLE}/\#CS_162ToCS_163\84 >>>>> Trojan.Killpar.b

C:\Users\Aspire V3\Music\Музыка кино 2\Инструментальная музыка из кинофильма Титаник - титаник финал (audiopoisk.com).mp3 - PE файл с нестандартным расширением(степень опасности 5%)

Файл успешно помещен в карантин (C:\Users\Aspire V3\Music\Музыка кино 2\Инструментальная музыка из кинофильма Титаник - титаник финал (audiopoisk.com).mp3)

C:\Users\Aspire V3\Music\Музыка кино 2\Музыка и песни из кинофильмов Леонида Гайдая - Остров невезения (Блиллиантовая рука) (audiopoisk.com).mp3 - PE файл с нестандартным расширением(степень опасности 5%)

C:\Windows\Installer\$PatchCache$\Managed\4A27EA72712BCDC48BB233119E7D64E0\16.1.0\policy.16.0.corel.interop.co - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)"

- в повторном отчете исчезли, но проблема выпадающей строки "prefetchform" осталась. она часто стала появляться при выполнения скрипта авз по нескольку раз за сеанс. в обычном режиме компа этого не замечалось сегодня.

а эти строки выделенные красным цветом в старом и новом отчете авз попрежнему мне не понятны.

 

nel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587BBD2->7796E524

Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7587BC05->7796E548

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE138->6E2312A3

Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDDE58->6E2134CF

Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE1E8->6E229925

Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE138->6E2312A3

Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDDE58->6E2134CF

Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77DDE1E8->6E229925

Анализ user32.dll, таблица экспорта найдена в секции .text

Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DB633->6E213537

Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->774DC784->6E26C5DF

 

благодарю за первоначальную помощь

[tarantas 1]

выпадающая строка "PrefetchForm" при работе утилиты авз по нескольку раз за сеанс (замечено сегодня) дествовала на мозг раздражающе. Возможно, какая то сволочь осталась после выполнения скрипта авз и продолжает передовать азбуку морзе в эфир...

а так же, сегодня при дежурной перезагрузке выпал текст "PrefetchForm-это приложение не дает перегрузить комп..", чеши не чеши репу, этого приложения на своем компе http://www.acer.ru/ac/ru/RU/content/series/aspirev3 я не нашел. можно вывернуть мозг на изнанку в поисках чего то, что спрятано у тебя под пластиком и так и не узнаешь...

нужна информация по этому вопросу

[Roman_Five 598]

зачем "плодить" темы?

 

авто ответ от лк KLAN-970340684

где?

 

где новые логи?

[tarantas 1]

все логи в первой теме. нового нет ничего.

 

последний отчет (лог)весит 99,8 мб. он сюда не лезит. вот выдержки из него

7. Эвристичеcкая проверка системы

Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\nvinit.dll"

рано я обрадовался тому что увидел в отчете авз при полном сканировании. отчет показал-вредоносных программ 1, подозрений 0.

мозги уже паряться ищя в отчете строку, которую надо для инфо..

 

а у меня есть тоже подозрения...поэтому и прошу помощи, я что, один такой у кого полным полна коробочка...

 

вот лог random's system information tool 1.09

log.txt

[Roman_Five 598]

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте лог AdwCleaner

http://safezone.cc/forum/showthread.php?t=19726

[tarantas 1]

всем спасибо за помощь. до связи...

 

пс будет лог...ждите

[Roman_Five 598]

И сделайте лог GSI

http://forum.kasperskyclub.ru/index.php?showtopic=7611&view=findpost&p=55906

[tarantas 1]

кто бы мне вчера бы подсказал про антималваре. вчера закачал ее, полное сканирование показало 122 штуки партизанов,но это уже в прошлом. завтра будут логи от анти малваре. всем спокойной ночи. на сегодня все.

[Roman_Five 598]

вот лог random's system information tool 1.09

а где info.txt ?

 

приложите лог - решим без антималваре.

[tarantas 1]

инфо текст от какой утилиты. я сам уже запутался во всех этих текстах,логах и зипах. укажите конкретно что нужно сделать в дополнении ко всему, чтобы мы поняли друг друга. утилита антималваре уже молотит и есть один партизан, отчет будет.

 

для инфо,www.nsa.gov, можете просканировать этот сайт на фишинг, а то слишком часто кис 2014 стал выдавать информационное сообщение о том, что этот сайт занесен в базу данных антифишинговых подозрений... и этот сайт тоже www.yug-design.ru, а этот ресурс попал конкретно в базу данных кис2013/2014 по фишингу, хотя это нормальный сайт для бизнеса.

 

вот отчеты

MBAM-log-2013-08-19 (09-57-29).txt

GetSystemInfo_ACER-V3_Aspire V3_2013_08_19_09_52_03.zip

[Roman_Five 598]

инфо текст от какой утилиты.

RSIT

 

для инфо,www.nsa.gov, можете просканировать этот сайт на фишинг, а то слишком часто кис 2014 стал выдавать информационное сообщение о том, что этот сайт занесен в базу данных антифишинговых подозрений... и этот сайт тоже www.yug-design.ru, а этот ресурс попал конкретно в базу данных кис2013/2014 по фишингу, хотя это нормальный сайт для бизнеса.

пишите в https://my.kaspersky.com/ru/support/content

 

деинсталлируйте

=> SUPERAntiSpyware

=> Malwarebytes Anti-Malware, версия 1.75.0.1300

 

очистите временные папки:

C:\Users\Aspire V3\AppData\Local\Temp\

 

нет ещё лога AdwCleaner

 

и самое главное - деинсталлируйте Acer Instant Update Service.

ваши основные проблемы - от этой программы.

[tarantas 1]

вот лог

 

жду ответа, пока не буду ничего удалять до полного вашего ответа

AdwCleanerR1.txt

[Roman_Five 598]

выполняйте всё выше рекомендованное

+

запустите ещё раз AdwCleaner и нажмите Delete

новый лог приложите.