Перейти к содержанию

Trojan.Agent.BTMGen (conhost.exe)


Рекомендуемые сообщения

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 52
  • Created
  • Последний ответ

Top Posters In This Topic

  • Илья Зверь

    27

  • mike 1

    25

  • Mark D. Pearlstone

    1

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 
Включите UAC
 
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
 
Включите.
 

Adobe Reader 8.1.2 v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.18.9.0.3467 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 
Обновите.

Ace Stream Media 3.1.1 v.3.1.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция 
Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция
 
 

Если проблема сохранилась, то сделайте лог ProcessMonitor по инструкции https://support.kaspersky.ru/common/diagnostics/10935 (пункт 3), т.е. нужно запустить утилиту, поставить галочку Enable Boot Logging, перезагрузить ПК и воспроизвести проблему. Дальше сохраните лог и выложите его на rghost.ru

Ссылка на сообщение
Поделиться на другие сайты

Включите UAC

 

Включил. Это никак не влияет.

 

 

 

 

Отключен частный профиль Брандмауэра Windows   Включите.

Включил. Но я его отключил только для этих тестирований. Так он всегда включен.

 

 

 

 

Adobe Reader 8.1.2 v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

она уже много лет стоит. Я ей особо не пользуюсь. Не в ней проблема. Но удалил.

 

 

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^   Обновите

Обновил. Вообще он автоматом обновляется.

 

 

 

 

Ace Stream Media 3.1.1 v.3.1.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция 

Программа для просмотра трансляций. Пользуюсь много лет. Она включается только мной. Не в ней дело.

 

 

Лог сделаю завтра. Тут явно проблема в каком то скрипте, который активирует исходящее подключение и создает файл.

Изменено пользователем Илья Зверь
Ссылка на сообщение
Поделиться на другие сайты

@mike 1,на rghost залить не удалось, т.к. там стоит лимит на 100 Мб. Файл же весит 300 Мб. Причем создалось их 3 штуки. Я залил на гугл-диск, доступ по ссылке.

 https://drive.google.com/open?id=19hHBoi3RRNYGSqruJ-rGWhHpSrAZIUZ4


кстати система опять перестала видеть жесткий диск.  Мол отключен из-за конфликта подписей с другим диском.

Ссылка на сообщение
Поделиться на другие сайты

Можете еще раз попробовать собрать лог? Лог похоже поврежден.

 

@mike 1

https://drive.google.com/open?id=1GCzdbjui5S6XK6ZX435OTrlJZoyTcuYW

Ссылка на сообщение
Поделиться на другие сайты

Я так понимаю на мою проблему забили...

У меня есть основная работа и кое-какие дела еще дома, а до 12 часов ночи сидеть на форуме с Вами я не могу. Мне в 6:30 приходится вставать, чтобы успеть на работу. А еще после работы я иногда сильно устаю, где такие же пользователи как здесь на форуме.

 

Попробуйте собрать так лог: 

 

 

запустите Process Monitor; меню Options -> включите флажок Enable Boot Logging; перезагрузитесь; после этого воспроизведите проблему, затем запустите Process Monitor и сохраните лог: меню File -> Save -> PML-формат

И еще дополнительно такой лог дайте https://virusinfo.info/showthread.php?t=196553

Ссылка на сообщение
Поделиться на другие сайты

@mike 1,извините, думал это ваша основная работа. 

Насчет логов. Пересобрал bootlog https://drive.google.com/open?id=1vlDBhpw8339R02GkafGjBxtQ61YXYEOt, а также прикрепил новый лог   logfile  

https://drive.google.com/open?id=1RnyUVAkn0hEX1yo4rL7nbiyqoBppIhCc (почему-то форум не видит как ссылку, поэтому скопируйте адрес просто)

 

Лог от Авторана

http://rgho.st/7J6GKgpmH

Изменено пользователем Илья Зверь
Ссылка на сообщение
Поделиться на другие сайты

Лог открылся. Примерно во сколько по времени было оповещение MBAM?

 

(!) Обнаружены различия в BOOT секторах при разных способах доступа к диску C

(!) Обнаружены различия в BOOT секторах при разных способах доступа к диску D

 

 

Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;

  • Запустите файл TDSSKiller.exe.
  • Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  • В процессе проверки могут быть обнаружены объекты двух типов:
  • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
  • подозрительные (тип вредоносного воздействия точно установить невозможно).
  • По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  • Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  • Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  • Самостоятельно без указания консультанта ничего не удаляйте!!!
  • После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  • Прикрепите лог утилиты к своему следующему сообщению
  • По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
 
+

 

Загрузите GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  • Временно отключите драйверы эмуляторов дисков.
  • Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  • Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  • После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
  • Sections
  • IAT/EAT
  • Show all
  • Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  • Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  • После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

 

Лог открылся. Примерно во сколько по времени было оповещение MBAM?

 

 

так я специально его отключил, чтобы не блокировал ничего. 

 

 

(!) Обнаружены различия в BOOT секторах при разных способах доступа к диску C

(!) Обнаружены различия в BOOT секторах при разных способах доступа к диску D

 

 

Да такое было уже при проверке какой-то программой. О чем это может говорить?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...