Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Прошу содействия на выявление заразы или же ее отсутствия. (логи внутри). (http://forum.oszone.net/showthread.php?t=237912)

perania 04-07-2012 18:45 1945896
Прошу содействия на выявление заразы или же ее отсутствия. (логи внутри).
 
Вложений: 2
доброго времени суток,
ситуация, которая побудила, проверить компьютер на вирусы, следующая, неск дней назад заметил, что не реагирует на "горячие клавишы" диспетчер задач, решил его активировку лишь следующим способом
Цитата:
в Реестре Windows в разделе разделе [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] в параметре REG_DWORD DisableTaskMgr сменил его значение на 0 , было 1
далее заметил, что в пуске неактивна (вообще нет) вариантов выкл, ребут системы, есть только log off.
решил вопрос с появлением кнопки "выключения", лишь пофиксив это в "политики системы".
система win7, 64бит.

и так, отчеты, проверьте пжлста на какие то особенности и на вероятность какой то дряни.

iskander-k 05-07-2012 08:45 1946183
Multi Password Recovery- вы устанавливали ?


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM


Сделайте еще лог Universal Virus Sniffer (UVS)

Скачайте Universal Virus Sniffer (UVS)

Как подготовить лог UVS

Извлеките UVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
___________________
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7Zip, то UVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.


___________________
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

perania 05-07-2012 19:20 1946647
Вложений: 2
Multi Password Recovery - да мое. и еще нюанс, присутствует программа DCPP которая чуть меняет загрузку, с паролем, прошу это учесть когда будете рассматривать логи, т.е. чтобы загрузочную область если и трогать то аккуратно. в принципе все действо происходит на виртуальной машине и если и будем делать серьезные изменения, могу предварительно сохранить образ на случай бсодов или проблем с загрузкой.

и еще вопрос не совсем по теме, к уважаемому рассматривающему мой вопрос, данные прикрепленные файлы видят пользователи форума или только определенная группа модераторов ?

iskander-k 05-07-2012 22:01 1946746
Цитата:
Цитата perania
данные прикрепленные файлы видят пользователи форума или только определенная группа модераторов ? »
Скачать логи и ответить вам могут только допущенные к лечению люди, и сам автор топика. Другим доступ к темам закрыт. В чужих темах в можете читать вопросы и ответы.

кроме ваших примочек и креков не вижу активного заражения.

Если есть проблемы ? - будем пробовать другие утилиты.

Проверьте систему CureIT.

perania 06-07-2012 02:57 1946854
MBAM помимо кряков и примочек нашел следующее.

Цитата:
Обнаруженные процессы в памяти: 1
C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert)


Обнаруженные ключи в реестре: 1
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.

HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

Объекты реестра обнаружены: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
к примеру эти вещи смущают , в том числе ЛдПинч известный, к моему удивлению сидит.

iskander-k 06-07-2012 20:50 1947286
Цитата:
Цитата perania
C:\Windows\kmsem\KMService.exe »
Это крек для винды
Цитата:
Цитата perania
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName »
от вашего мултипаспорта - можете проверить его на https://www.virustotal.com/ru/
Цитата:
Цитата perania
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. »
Отключенные надстройки проводника и отключенная система восстановления (видимо у вас сборка ) авторы сборок много отключают на свое усмотрение.


Время: 12:05.

Время: 12:05.
© OSzone.net 2001-