Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Подозрение на маскировку ключа реестра службы\драйвера "vdrv1000"

Andreyuser

Автор Andreyuser
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Andreyuser Опытный

Andreyuser

Опубликовано
Опубликовано (изменено)

Здравствуйте, у меня стал тормозить интернет. Сделал сканирование avz и в отчете есть такое:Подозрение на маскировку ключа реестра службы\драйвера "vdrv1000".  В диспетчере задач во вкладке Сеть  -скачет значение от  0% до 20%. Посмотрите логи пожалуйста.  


Также на диске С есть папки с крякозяброй.- C:\Documents and Settings\???????????????°???? и C:\Documents and Settings\LфьшэшёЄЁрЄюЁ

Изменено пользователем Andreyuser
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)
vdrv1000 - от Virtual CD (Эмулятор дисков)

 

Деинсталируйте через панель управления => Установка и удаление программ:

 

Weatherbar

 

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

Подробнее читайте в руководстве

 




Обнаруженные ключи в реестре:  2

HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Действие не было предпринято.

HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.

 

Обнаруженные параметры в реестре:  1

HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.

 

Обнаруженные папки:  7

C:\Documents and Settings\user\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Documents and Settings\user\Application Data\OpenCandy\23B33C0C34184922ADEF8F33F5C90722 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Documents and Settings\user\Application Data\OpenCandy\6367B570D5A74568B2EFA6BBBD2C723A (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Documents and Settings\user\Application Data\OpenCandy\OpenCandy_23B33C0C34184922ADEF8F33F5C90722 (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Documents and Settings\user\Application Data\OpenCandy\OpenCandy_6367B570D5A74568B2EFA6BBBD2C723A (PUP.Optional.OpenCandy) -> Действие не было предпринято.

C:\Documents and Settings\user\Local Settings\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.

C:\Documents and Settings\user\Local Settings\Application Data\DealPlyLive\CrashReports (PUP.Optional.DealPly.A) -> Действие не было предпринято.

 

Обнаруженные файлы:

C:\Documents and Settings\user\Application Data\OpenCandy\OpenCandy_6367B570D5A74568B2EFA6BBBD2C723A\OpenCandyU1Dlm.dll (PUP.Optional.OpenCandy.A) -> Действие не было предпринято.


 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

 

Ссылка на комментарий
Поделиться на другие сайты
Andreyuser Опытный

Andreyuser

Опубликовано
  • Автор
Опубликовано (изменено)

Постоянно скачет значение Сеть в диспетчере задач- это так должно быть или нет? Почему то не загружается сайты 2ip.ru, KinoPod.ru, Можно ли удалить странные вложенные папки с крякозяброй:

C:\Documents and Settings\???????????????°????\????? ??????????µ????\webkit\icondatabase - здесь есть файл-WebpageIcons.db;

 

C:\Documents and Settings\LфьшэшёЄЁрЄюЁ\Local Settings\Temp -

Изменено пользователем Andreyuser
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Можно ли удалить странные вложенные папки с крякозяброй
То, что имя папки в неверной кодировке, еще не повод для удаления

 

Тем более во втором случае кракозябры означают Администратор

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей100
      [РЕШЕНО] Вирус, предположительно маскировка под dwm.exe
      Автор Сергей100
      Здравствуйте. Полагаю, что вирус маскируется под dwm.exe. В диспетчере задач данных процессов два. Грузит ЦП и ПК не переходит в режим сна, только гаснет экран. При отключении одного из этих процессов ПК уходит в сон, но после скрипт вируса видимо перезагружается. Прошу помочь удалить данный вирус.
      CollectionLog-2025.03.26-03.50.zip
    • KL FC Bot
      Техника Polyglot для маскировки зловредов | Блог Касперского
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
    • kain22882
      узел службы: сетевая служба Dns-клиент грузит ЦП
      Автор kain22882
      с помощью HiJackThis смог записать логи, сказали попросить помощи специалистов
      HiJackThis.log
    • Виктория12333
      Узел службы: локальная система
      Автор Виктория12333
      Здравствуйте, в диспетчере задач было замечен такой узел службы. Что он значит? 
    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
×
×
  • Создать...