-
Junior Member
- Вес репутации
- 49
Странное поведение
Здравствуйте. Есть сомнение на честную и правильную работу моего компьютера
Недавно устанавливал игру Minecraft. После ее установки компьютер сам перезагрузился, что меня очень напугало. Следов заражения не было. Прошу обратить внимание, что компьютер перезагрузился так,как будто его перезагрузили кнопкой. Похоже, это не из-за установки.
Сегодня скачивал программу, кис11 написал, что ее поведение похоже на PDM.Keylogger , но разрешил. Программу я сразу удалил.
Часто прохожу у Вас лечение, решил на всякий случай перестраховаться. Спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте.
Ничего подозрительного, кроме
Это Вы сами ставили?
Сообщение от
venus
поведение похоже на PDM.Keylogger
Это проактивка сработала, у нее часто бывают фолсы.
-
-
Junior Member
- Вес репутации
- 49
Спасибо. Программу ooVoo.exe ставил я сам, но как вы написали, в корне диска С ее нет.
Добавлено через 1 минуту
Папка программы находится в C:\\Program Files\Oovoo
Это почти скайп, только там без веб-камеры общаться невозможно.
Добавлено через 34 секунды
А почему она подозрительна? У нее странное поведение ,или у вас подозрения были что это вирус со странным именем?
Последний раз редактировалось venus; 18.07.2011 в 18:08.
Причина: Добавлено
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\ooVoo.exe','');
BC_ImportQuarantineList;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "Прислать запрошенный карантин" наверху темы).
-
-
Junior Member
- Вес репутации
- 49
Пишу с нетбука, выполнил скрипт, сейчас перезагружается. Карантин с использованием прямого чтения - ошибка было высвечено...
И еще - Windows странно выключалась, не с голубым экраном, как обычно, а с маленьким окошком..
Добавлено через 4 минуты
Файл сохранён как 110718_141756_quarantine_4e2440940e85d.zip
Размер файла 556
MD5 ceba958684fdaf04f1ef130905f1c583
Добавлено через 1 минуту
Я удивлен, что Вы говорите, что ooVoo.exe лежит в корне диска C.
У меня показывает скрытые файлы и папки, но я его не вижу. И авз похоже, тоже..
Добавлено через 4 минуты
Hedgars, я сам просмотрел логи и убедился, что у меня в автозапуске oovoo.exe.
Такого файла нет ни в корне диска, не в автозагрузке Msconfig..
похоже, это правда зловред.
Добавлено через 3 минуты
Я сейчас зашел в менеджер автозапуска в avz, написано, что файл C\ooVoo.exe действительно есть в автозапуске, но он помечен черным шрифтом, значит файла уже не существует??
Добавлено через 12 минут
Погуглив, обнаружил, что она должна запускаться так : C:\Program Files\ooVoo\oovoo.exe /minimized
Но у меня запускается так: C\oovoo.exe /minimized значит, это ошибка в коде, похоже...
Смутило только запись в логе avz "Статус: Активен"
Я деинсталлировал программу oovoo. Еще смутило то, где располагается автозапуск этой программы в реестре, а именно
HKEY_USERS, S-1-5-21-1659004503-1202660629-682003330-1006\Software\Microsoft\Windows\CurrentVersion\Run , ooVoo
Еще нашел в интернете лог-файл одного пользователя:
O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKCU\..\Run: [ooVoo] C\ooVoo.exe /minimized
Похоже, что все нормально, и это, наверное так программа oovoo записывает себя в реестре.
Добавлено через 12 минут
Кстати, что у меня делает Хром в автозагрузке и он активен, хотя я его не запускал?
Добавлено через 45 минут
удалил запись реестра с автозапускомэтой программы..
Добавлено через 17 минут
Мои дела плохи или еще есть надежда на спасение?
Буду надеяться, что у меня больше нет зловредов. Ну так что, C\oovoo.exe был зловредом или нет?
Добавлено через 22 минуты
Вы знаете, но мне почему-то кажется, что в автозапуске - это тулбар Oovoo.
Последний раз редактировалось venus; 18.07.2011 в 20:18.
Причина: Добавлено
-
Сообщение от
venus
C\oovoo.exe был зловредом или нет?
Не попал он в карантин.
Поищите его ручками в корне диска. Если такой найдется, запакуйте в архив с паролем virus и закачайте как карантин.
-
-
Junior Member
- Вес репутации
- 49
Такого файла не нашлось. Что дальше делать?
-
Junior Member
- Вес репутации
- 49
Давайте предположим, что oovoo.exe - часть программы Oovoo. У меня больше нет зловредов?
-
Сообщение от
venus
Что дальше делать?
Раз нету - значит и бояться нечего. Глюк парсера AVZ, скорее всего.
-
-
Junior Member
- Вес репутации
- 49
Как всегда спасибо, hedgars
С уважением, винус.
P.S. Правда, что с помощью правильных настроек кис11 можно обезопасить себя от winlock`а? Извините за оффтоп.
-
Сообщение от
venus
кис11 можно обезопасить себя от winlock`а?
Да, есть такое. Подробно описано здесь, правда оно для 2010.
-
-
Junior Member
- Вес репутации
- 49
Сообщение от
hedgars
Да, есть такое. Подробно описано
здесь, правда оно для 2010.
ДА! Именно оно! Спасибо! Именно этот трюк я проделывал с кис 2011 на нетбуке. СПАСИБО ОГРОМНОЕ, МОЙ СПАСИТЕЛЬ! Счастья и всех благ вам.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-