Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.

Автор: ASE_DAG
Дата сообщения: 05.12.2013 02:00

> Интерес состоит в востановлении файлов.
Ну очевидно, первое что стоит сделать — это снять полный побайтовый образ флэшки (при помощи утилиты типа dd_rescue), и все дальнейшие действия производить над ним, а к флэшке больше не прикасаться.

> На флешке имеються файлы, которые были записаны на нее после "аварии"
Очень неосмотрительно.

Автор: Tanker2
Дата сообщения: 05.12.2013 15:08

romak81
Приносили такую флэшку. Смог восстановить только несколько файлов. Но по рассказу как я понял она даже не знала как безопасно извлечь флэшку. Просто дергала её и всё.
Так что возможно и у вас не вирус а
Цитата:

файловая система рухнула

Автор: romak81
Дата сообщения: 07.12.2013 20:21

Взял домой выше описаную флешку. В свойствах ФАТ32, 6Гб занято, 2 Гб свободно.
В корневой директории безимянная папка с гиговыми файлами

ASE_DAG

Цитата:

снять полный побайтовый образ флэшки (при помощи утилиты типа dd_rescue), и все дальнейшие действия производить над ним

утилита dd_rescue для работы под Линуксом. Мне нужна прога для винды чтоб снять и потом монтировать образ для експеритентов. Искал подобные но те или просто снимають образ(для следующего востановления) или для монтирования образов но таких не снимают. И из-за разных форматов их скомбинировать не удалось.
буду еще искать и експериментировать, но может чтоб сэкономить время кто подскажет конкретную прогу под винду?..
Tanker2

Цитата:

...не знала как безопасно извлечь флэшку. Просто дергала её и всё

Не согласен. Свои флешки уже 5 лет просто выдергиваю.
Флешка может работать в двух режимах: оптимизированая для удаления и оптимизирована для выполнения (без кеширования и с кешированием файлов соответственно)

Я заметил, что с магазина флешки идут настроины именно для "быстрого выдергивания" и 90 процентов обычных пользователей даже не знают как и зачем переключать режимы и спецпрограм для форматирования и изменения параметров флешки не испоьзуют.
Но это другая история. Вопрос о вирусах. Что за дрянь файлы попортила и как их вылечить-востановить?

Автор: regist123
Дата сообщения: 07.12.2013 23:17

romak81 22:21 07-12-2013
Цитата:

буду еще искать и експериментировать, но может чтоб сэкономить время кто подскажет конкретную прогу под винду?..

winhex кажись умеет.
а так я ещё раньше написал, что скорее всего сбой электроники (либо файловой системы, что по сути в данном случае тоже самое).

Автор: romak81
Дата сообщения: 09.12.2013 22:44

Образ флешки снял Акронисом. Им же и монтирую образ.
ASE_DAG

Цитата:

все дальнейшие действия производить над ним

Что дальше делать?

Автор: ASE_DAG
Дата сообщения: 10.12.2013 15:06

romak81, на какого черта вам что-то монтировать?

> Что дальше делать?
Переходить к анализу, очевидно. Свободных средств для этого не так много — sleuthkit для анализа файловой системы и foremost для анализа по содержимому файлов. Если с ними не получится и 50 долларов не жалко, то стоит приобрести R-Studio.

А вообще, я не специалист в этой области. Возможно, после того, как вы немножко вникните с суть, вам стоит спросить совета у тех, кто в этом разбирается получше. Если на Руборде, то например, вот в этой ветке.

Автор: jonvarvar
Дата сообщения: 10.12.2013 20:48

romak81

Цитата:

Вопрос: Если выше описаная ситуация результат деяния вируса, то он обязательно должен присутствовать на флешке?

Необязательно. Необязательно, что он даже присутствует на заражённой машине. "Сомалийский" блокиратор, к примеру, закриптовав файлы и оставив сообщение - самоудаляется.

Цитата:

Мучения состояли из попыток именно открыть или хотя бы идентифицировать файлы...

Единственный совет - повторить сии мучения. Выяснить, что за файлы могут быть на флешке. Самые маленькие переименовать в типа 123.txt и пробовать открыть в блокноте и т.д. Получится хоть что-то открыть - появится шанс на частичное восстановление, и та же R-Studio в помощь. В противном случае - вытянуть коррупированные файлы, или, тем паче, дешифровать после криптовиря - задача не для "спортивного интереса".

Автор: Lermk
Дата сообщения: 14.12.2013 10:27

Добрейшего времени суток.
На компе под Win 7 (32 bit), через браузер Chrome, сходили в группу VK, где просмотрели на своей странице сброшенный другим пользователем музыкальный видео клип. Через несколько минут после просмотра на компе стал звучать непрерывно повторяющийся звуковой файл длительностью около 5 сек. - перезвон колокола. На компе стоял eset smart security 6. Звук "колокола" загружается через 3,5-4 минуты после загрузки системы и начинает постоянно звучать через колонки и в наушниках. Пробовал различные антивирусные продукты Dr,Web Live CD и такой же аналог от Касперского, утилиту AVZ - результат нулевой. О данной проблеме в интернете практически ничего не нашел. Одна надежда на наш форум!
Может кто сталкивался с данной проблемой?
P.S. При всем этом комп не "глючит". И все же - ЧТО ЭТО ЗА ТИП ВИРУСА..?

Автор: Living things
Дата сообщения: 14.12.2013 10:57

Цитата:

перезвон колокола

У меня появилось некогда на ХР вместе с установкой часов; после удаления программы исчезли и звуки.
Lermk
Попробуйте установить по новой аудио драйвера или ищите программу в автозапуске, в которую записались эти звуки.

Автор: Lermk
Дата сообщения: 14.12.2013 12:35

Спасибо большое за совет, но переустановка дров не дала положительного результата...
Проверил автозагрузку, но ничего не обнаружил подозрительного.

Автор: Sorok
Дата сообщения: 14.12.2013 12:49

Lermk

Цитата:

Проверил автозагрузку

Попробуйте проверить комп с Loaris Trojan Remover

Добавлено:
Lermk

Цитата:

ЧТО ЭТО ЗА ТИП ВИРУСА..

Всем советую бродить по сети и скачивать что-либо или из вертуалки или из диска Windows PE.

Автор: Lermk
Дата сообщения: 14.12.2013 14:44

"Троян рэмовер" стоит, и регулярно обновляю базы...
По поводу бродить из "вертуалки" - это хорошо, но поезд уже ушел...
Как на него сесть, вот вопрос?! Можно перебить Винду, но пока хочу докопаться до истины.

Автор: zikol
Дата сообщения: 14.12.2013 15:40

Lermk
выложите лог avz

Автор: Lermk
Дата сообщения: 15.12.2013 11:36

Не могу понять, как сделать в сообщении вложение?

Автор: Tridentifer
Дата сообщения: 15.12.2013 12:41

Lermk

FAQ по тегу more - текст (лог AVZ) можно поместить в этот тег.

Автор: Lermk
Дата сообщения: 15.12.2013 15:05

Спасибо за ссылку, но все-равно не понятно КАК?
Лог 32 КВ...

Автор: arvidos
Дата сообщения: 15.12.2013 15:06

как как. на rghost.ru залейте и дайте ссылку. что вообще за бред выкладывать весь лог под спойлер?

Автор: Lermk
Дата сообщения: 15.12.2013 15:17

arvidos большое спасибо за совет.

http://rghost.ru/50983547

Автор: ASE_DAG
Дата сообщения: 15.12.2013 16:33

> но все-равно не понятно КАК? Лог 32 КВ.
[more=Вот так.]Внимание !!! База поcледний раз обновлялась 12.07.2013 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.41
Сканирование запущено в 15.12.2013 10:30:13
Загружена база: сигнатуры - 297614, нейропрофили - 2, микропрограммы лечения - 56, база от 12.07.2013 13:39
Загружены микропрограммы эвристики: 403
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 565706
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 6.1.7601, Service Pack 1 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:CreateProcessA (167) перехвачена, метод APICodeHijack.JmpTo[772B2082]
>>> Код руткита в функции CreateProcessA нейтрализован
Функция kernel32.dll:CreateProcessW (171) перехвачена, метод APICodeHijack.JmpTo[772B204D]
>>> Код руткита в функции CreateProcessW нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:LdrUnloadDll (161) перехвачена, метод APICodeHijack.JmpTo[777CC86E]
>>> Код руткита в функции LdrUnloadDll нейтрализован
Функция ntdll.dll:NtAlpcSendWaitReceivePort (216) перехвачена, метод APICodeHijack.JmpTo[777B5418]
>>> Код руткита в функции NtAlpcSendWaitReceivePort нейтрализован
Функция ntdll.dll:NtClose (227) перехвачена, метод APICodeHijack.JmpTo[777B54C8]
>>> Код руткита в функции NtClose нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWinEventHook (2216) перехвачена, метод APICodeHijack.JmpTo[776124DC]
>>> Код руткита в функции SetWinEventHook нейтрализован
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[77636D0C]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[7760E30C]
>>> Код руткита в функции SetWindowsHookExW нейтрализован
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CreateProcessAsUserA (1125) перехвачена, метод APICodeHijack.JmpTo[77712538]
>>> Код руткита в функции CreateProcessAsUserA нейтрализован
Функция advapi32.dll:CreateProcessWithLogonW (1127) перехвачена, метод APICodeHijack.JmpTo[777152E9]
>>> Код руткита в функции CreateProcessWithLogonW нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=340, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 340)
Маскировка процесса с PID=392, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 392)
Маскировка процесса с PID=544, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 544)
Маскировка процесса с PID=1012, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1012)
Маскировка процесса с PID=1372, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1372)
Маскировка процесса с PID=2648, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2648)
Маскировка процесса с PID=2764, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2764)
Маскировка процесса с PID=2904, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2904)
Маскировка процесса с PID=2928, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2928)
Маскировка процесса с PID=3432, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3432)
Маскировка процесса с PID=3452, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3452)
Маскировка процесса с PID=3640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3640)
Маскировка процесса с PID=3672, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3672)
Маскировка процесса с PID=3684, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3684)
Маскировка процесса с PID=3828, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3828)
Маскировка процесса с PID=3888, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3888)
Маскировка процесса с PID=3976, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3976)
Маскировка процесса с PID=4000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4000)
Маскировка процесса с PID=4080, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4080)
Маскировка процесса с PID=2112, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2112)
Маскировка процесса с PID=2992, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2992)
Маскировка процесса с PID=2956, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2956)
Маскировка процесса с PID=1048, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1048)
Маскировка процесса с PID=3224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3224)
Маскировка процесса с PID=4192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4192)
Маскировка процесса с PID=4656, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4656)
Маскировка процесса с PID=4696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4696)
Маскировка процесса с PID=4832, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4832)
Маскировка процесса с PID=4880, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 4880)
Маскировка процесса с PID=5508, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 5508)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 66
Анализатор - изучается процесс 876 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1164 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1976 C:\Program Files\Avira\AntiVir Desktop\sched.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 368 C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2596 C:\Program Files\MGE\PersonalSolutionPac\CilRS232.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2604 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 2684 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3900 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
[ES]:Может работать с сетью
Количество загруженных модулей: 670
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Boot\BCD
Прямое чтение C:\Boot\BCD.LOG
Прямое чтение C:\Program Files\COMODO\COMODO Internet Security\database\vendor.h
C:\Program Files\Trojan Remover\Rmvtrjan.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid.dat
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat_1
Прямое чтение C:\ProgramData\Avira\AntiVir Desktop\EVENTDB\gavid2.dat_2
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb-shm
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisboost.sdb-wal
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cisdata.sdb
Прямое чтение C:\ProgramData\Comodo\Firewall Pro\cislogs.sdb
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\BUTTON.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\CHECKBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\COMBOBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\DIVWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\EXTERNALWRAPPER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1025.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1028.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1037.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1038.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1041.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1042.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1081.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1095.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1097.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1098.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1099.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1100.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_1102.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_2052.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_3098.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\GLOBAL_DEFAULT.CSS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\HIPUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\IMAGE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LINK.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\LOCALIZATION.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\MULTIUSERSSO.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSER.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERCOMM.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\NEWUSERFED.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSER.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\SAVEDUSERS.HTM
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXT.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TEXTBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\TILEBOX.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UICORE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\UIRESOURCE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\USERTILE.JS
Прямое чтение C:\ProgramData\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC\WAITPAGE.HTM
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
Прямое чтение C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft Window_f2f5863b135cbf290772df66cdf918cab5d720_cab_168f1d6f\Pkg1C56.cab/{CAB}/81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft Window_f2f5863b135cbf290772df66cdf918cab5d720_cab_168f1d6f\Pkg1C56.cab)
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft_a2d58e5bd77b85bf78145612592afcbb6e4fac3_cab_043b01d4\{81006DDA-A4DE-4D17-BD62-E125C00D6ABB}-WER-11272013-2200.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_Microsoft_a2d58e5bd77b85bf78145612592afcbb6e4fac3_cab_043b01d4\{81006DDA-A4DE-4D17-BD62-E125C00D6ABB}-WER-11272013-2200.etl)
Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\Program Statistics\ProgramStatistics.2013.tudb
Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\TUProgMan.10.tudb
Прямое чтение C:\ProgramData\TuneUp Software\TuneUp Utilities\TUUtilitiesSvc.13.tudb
Прямое чтение C:\System Volume Information\3698329drv.isw
Прямое чтение C:\System Volume Information\mdllog.dat
Прямое чтение C:\System Volume Information\Syscache.hve
Прямое чтение C:\System Volume Information\Syscache.hve.LOG1
C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.000\81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFE612 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.000\81006DDA-A4DE-4D17-BD62-E125C00D6ABB.Repair.Admin.0.etl)
C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.001\5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFA9CA 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\2013112720.001\5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl)
C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\latest.cab/{CAB}/5F469986-ECFD-4B58-BF82-05B4547086E6.Repair.Admin.0.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BBFA9CA 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Users\Master\AppData\Local\ElevatedDiagnostics\460911090\latest.cab)
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Internet Explorer\MSIMGSIZ.DAT
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TM.blf
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\UsrClass.dat{fff2e009-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\WebCache\V01.log
Прямое чтение C:\Users\Master\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_001_
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_002_
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_003_
Прямое чтение C:\Users\Master\AppData\Local\Mozilla\Firefox\Profiles\ua13o6k6.HOME\Cache\_CACHE_MAP_
Прямое чтение C:\Users\Master\AppData\Roaming\Microsoft\Шаблоны\Normal.dotm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cert8.db
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\content-prefs.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\cookies.sqlite-wal
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\downloads.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\extensions.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\healthreport.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\healthreport.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\key3.db
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\permissions.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\places.sqlite-wal
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\signons.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\webappsstore.sqlite
Прямое чтение C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\ua13o6k6.HOME\webappsstore.sqlite-shm
Прямое чтение C:\Users\Master\AppData\Roaming\uTorrent\ie\ie.1387096146.tmp
Прямое чтение C:\Users\Master\AppData\Roaming\uTorrent\ie\ie.1387096147.tmp
Прямое чтение C:\Users\Master\ntuser.dat
Прямое чтение C:\Users\Master\ntuser.dat.LOG1
Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TM.blf
Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Users\Master\ntuser.dat{fff2e005-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\debug\WIA\wiatrace.log
C:\Windows\Logs\SystemRestore\RestoreUI.4.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1CA34539 1E621768 004D6E44 004D6E44 131072)
Файл успешно помещен в карантин (C:\Windows\Logs\SystemRestore\RestoreUI.4.etl)
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-FontFace.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-S-1-5-21-286380137-1249790891-3202259320-1000.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\AppData\Local\~FontCache-System.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat
Прямое чтение C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\LocalService\ntuser.dat{fff2e000-64b5-11e3-9948-001d60db8da8}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TM.blf
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\ServiceProfiles\NetworkService\ntuser.dat{fff2dffc-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms
Прямое чтение C:\Windows\SoftwareDistribution\ReportingEvents.log
Прямое чтение C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Прямое чтение C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
Прямое чтение C:\Windows\System32\catroot2\edb.log
Прямое чтение C:\Windows\System32\config\default
Прямое чтение C:\Windows\System32\config\DEFAULT.LOG1
Прямое чтение C:\Windows\System32\config\RegBack\DEFAULT
Прямое чтение C:\Windows\System32\config\RegBack\SAM
Прямое чтение C:\Windows\System32\config\RegBack\SECURITY
Прямое чтение C:\Windows\System32\config\RegBack\SYSTEM
Прямое чтение C:\Windows\System32\config\sam
Прямое чтение C:\Windows\System32\config\SAM.LOG1
Прямое чтение C:\Windows\System32\config\security
Прямое чтение C:\Windows\System32\config\SECURITY.LOG1
Прямое чтение C:\Windows\System32\config\SOFTWARE.LOG1
Прямое чтение C:\Windows\System32\config\system
Прямое чтение C:\Windows\System32\config\SYSTEM.LOG1
Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TM.blf
Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms
Прямое чтение C:\Windows\System32\config\TxR\{fff2dff7-64b5-11e3-9948-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms
C:\Windows\System32\LogFiles\Scm\SCM.EVM.2 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CE8AFC6 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.2)
C:\Windows\System32\LogFiles\Scm\SCM.EVM.4 >>> подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1CECDCC3 1E621768 004D6E44 004D6E44 491520)
Файл успешно помещен в карантин (C:\Windows\System32\LogFiles\Scm\SCM.EVM.4)
Прямое чтение C:\Windows\System32\LogFiles\SQM\SQMLogger.etl.003
Прямое чтение C:\Windows\System32\wbem\repository\INDEX.BTR
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING1.MAP
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING2.MAP
Прямое чтение C:\Windows\System32\wbem\repository\MAPPING3.MAP
Прямое чтение C:\Windows\System32\wbem\repository\OBJECTS.DATA
Прямое чтение C:\Windows\System32\wdi\LogFiles\WdiContextLog.etl.001
Прямое чтение C:\Windows\System32\wfp\wfpdiag.etl
Прямое чтение C:\Windows\System32\winevt\Logs\ACEEventLog.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Application.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\DebugChannel.etl
Прямое чтение C:\Windows\System32\winevt\Logs\Doctor Web.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\HardwareEvents.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Internet Explorer.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Key Management Service.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Media Center.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Problem-Steps-Recorder.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Assistant.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Compatibility-Troubleshooter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Bits-Client%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-BranchCacheSMB%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-CodeIntegrity%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcpv6-Client%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-DPS%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnosis-Scheduled%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Diagnostics-Performance%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Fault-Tolerant-Heap%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-GroupPolicy%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Help%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-Power%4Thermal-Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-StoreMgr%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Errors.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Kernel-WHEA%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NCSI%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkAccessProtection%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-NetworkProfile%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-OfflineFiles%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-ReadyBoost%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Resource-Exhaustion-Detector%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Admin.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-User Profile Service%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WER-Diag%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Defender%4WHC.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsBackup%4ActionCenter.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-WindowsUpdateClient%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Microsoft-Windows-Winlogon%4Operational.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\OAlerts.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Security.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\System.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\TuneUp.evtx
Прямое чтение C:\Windows\System32\winevt\Logs\Windows PowerShell.evtx
Прямое чтение C:\Windows\Tasks\SCHEDLGU.TXT
Прямое чтение C:\Windows\WindowsUpdate.log
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\system32\guard32.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\system32\guard32.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\system32\guard32.dll)
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCR90.dll)
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.crt_1fc8b3b9a1e18e3b_9.0.30729.7523_none_508f21ccbcbbb7a8\MSVCP90.dll)
C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL --> Подозрение на Keylogger или троянскую DLL
C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
Файл успешно помещен в карантин (C:\Windows\WinSxS\x86_microsoft.vc90.atl_1fc8b3b9a1e18e3b_9.0.30729.7523_none_51c8dd18bbe8adec\ATL90.DLL)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 69 TCP портов и 18 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
>> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
>> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME
>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 288019, извлечено из архивов: 158790, найдено вредоносных программ 0, подозрений - 8
Сканирование завершено в 15.12.2013 11:16:25
Сканирование длилось 00:46:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/[/more] (нажмите «редактировать» и посмотрите). До примерно 150 кб можно.

> на rghost.ru залейте
Что вообще за бред выкладывать часть сообщения на сторонний ресурс, где он сгинет через месяц.

Автор: Lermk
Дата сообщения: 15.12.2013 16:52

Автор: arvidos
Дата сообщения: 15.12.2013 17:15

Цитата:

Что вообще за бред выкладывать часть сообщения на сторонний ресурс, где он сгинет через месяц

да хоть через сутки. вы что, лог будете через полгода смотреть?

Автор: ASE_DAG
Дата сообщения: 15.12.2013 17:23

Lermk, нет, не хорошо. Уберите эту простыню под [no][more][font=monospace][/no], как я вам показал.

А если не допускать возможности, что это кто-нибудь будет читать, то зачем обсуждать чужие проблемы публично вовсе, arvidos?

Автор: Lermk
Дата сообщения: 15.12.2013 17:47

Ребята, я себя продвинутым пользователем не считаю, но вроде как и не ламер, а как написанов FAQ не получается. Если умрет ссылка через месяц на стороннем ресурсе, а проблема не будет решена, значит от такой ссылки толку мало...

Автор: regist123
Дата сообщения: 15.12.2013 20:52

Lermk загрузите на rghost.ru и выкладывайте ссылку.
От того, что вы выложили под спойлер никакого толку нет. Нужен лог virusinfo_syscure.zip

Автор: moroka33
Дата сообщения: 16.12.2013 10:52

Доброго.
Качнул архив с кейгеном на флешку, но использовать опасаюсь, источник левый, а кейген для этой проги весьма нужен.
Попробовал запустить в Sandbox COMODO 5.12 бесплатной версии - распереживался, вирус страшный кричит, удалить не может. Попробовал удалить руками - не удаляется, в т.ч. Unlocer_ом.
Рубанул комп, флешку изъял, запустил проверил почистил, разархивированный файл с флешки удалил руками.
Таперича гадаю толи фаервол отреагировал стандартно, как на любой кейген, толи там в натуре засада?
Может кто подскажет топик в котором согут проверить это.
Ссыль на архив с кейгеном:
удалил т.к. вирус
Душевно.
С наилучшими.
Neon2

Автор: Neon2
Дата сообщения: 16.12.2013 11:02

moroka33& вирус это, не сомневайтесь. Модифицирует файл host, скачивает остальные вирусные модули. Также вот отчёт вирустотала.

Автор: moroka33
Дата сообщения: 16.12.2013 12:56

Ув. Neon2
С нашего форума через выпрямление качнул дистрибут интересующей проги с кейгеном.
Попробовал запустить
Цитата:

COMODO

начал ругаться также как на предыдущий.
удалено, но не вирус, а нормальный кейген - будем пробовать.
Может есть возможность глянуть, уж очень прогу надо срочно малой поставить, а без кейгена никак, ключей к Adobe_InDesign_CS5.5_7.5.3 няма.
Душевно с наилучшими.
regist123

Цитата:

этот чист.

Автор: regist123
Дата сообщения: 16.12.2013 13:19

moroka33 лучше уберите ссылку вообще и в будущем все файлы в которых сомневаетесь выкладывайте под паролем, например: virus

А вот отчёт о работе выложенного вами вируса http://anubis.iseclab.org/?action=result&task_id=1786e88f330bbf3444587a64d9d84e84b&format=html

Добавлено:
moroka33 14:56 16-12-2013
Цитата:

начал ругаться также как на предыдущий. удалено т.к. вирус

moroka33 это чистый файл, вирус я написал про вашу предыдущую ссылку из этого поста. Последний свой пост вы видно написали пока я вирус смотрел и на момент написания своего поста я его не видел.
В общем

Цитата:

С нашего форума через выпрямление качнул дистрибут интересующей проги с кейгеном.

этот чист.
12:52 16-12-2013
Цитата:

Качнул архив с кейгеном на флешку, но использовать опасаюсь, источник левый,

это вирус.

» Вирус(ы) в Windows XP,Vista,7,8,8.1. Проблемы. Решения.