Malwarebytes anti-malware обнаружил много вирусов, как поступить в данной ситуации?

[Sosnogor]

Здравствуйте! При сканировании malwarebytes anti-malware обнаружил много вирусов, скажите пожалуйста как мне быть, удалить их все или пробовать лечить. Так же malwarebytes anti-malware постоянно сообщает, что заблокировал вредоносный сайт, вот только я никакие сайты не открываю, а он продолжает мне об этом повторять. Вот логи.


mbam-log-2015-02-06 (18-26-13).rar
hijackthis.rar
virusinfo_syscheck.zip
virusinfo_syscure.zip

[Info_bot]

Уважаемый(ая) Sosnogor, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Sosnogor]

Здравствуйте! Скажите, что я не то сделал, что никто не хочет помочь или некогда? Я выложил логи в одном от Malwarebytes anti-malware написаны всё вирусы и мне нужно знать, что с ними делать и как быть, Avast их не обнаруживает.

[thyrex]

App Lid
SmartSaver+

удалите через Установку программ

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Sosnogor\Application Data\NBTIVL.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\{a41197ef-0b95-4642-a2a8-7ab88e13264c}Gt.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\{a41197ef-0b95-4642-a2a8-7ab88e13264c}Gt.sys','32');
 DeleteFile('C:\WINDOWS\Tasks\21ff6560-747c-4b44-9422-2c48332cf916.job','32');
 DeleteFile('C:\WINDOWS\Tasks\2b7181a7-ee57-4351-b5f1-02f1e146354c.job','32');
 DeleteFile('C:\WINDOWS\Tasks\4b532b0c-34db-496c-a212-c51729a8ece6-1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\4b532b0c-34db-496c-a212-c51729a8ece6-10_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\4b532b0c-34db-496c-a212-c51729a8ece6-11.job','32');
 DeleteFile('C:\WINDOWS\Tasks\4b532b0c-34db-496c-a212-c51729a8ece6-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\4b532b0c-34db-496c-a212-c51729a8ece6-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\4b532b0c-34db-496c-a212-c51729a8ece6-7.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-10_user.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-11.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\59c8faf6-57f2-41ad-bcdd-86bf8df23536-7.job','32');
 DeleteFile('C:\WINDOWS\Tasks\5cd48283-0796-4875-9885-e46420ad1f91.job','32');
 DeleteFile('C:\WINDOWS\Tasks\b63170db-afcf-4bd1-9d10-61b66d0080b9.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-11.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-2.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-3.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-4.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\c274a952-ab51-4f8f-b879-b619bd520789-7.job','32');
 DeleteFile('C:\WINDOWS\Tasks\cf1098ec-49ef-437a-bdd0-677d21bdd167-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\e8016c33-e0c4-4236-81f3-9f821617a3ba.job','32');
 DeleteFile('C:\WINDOWS\Tasks\NBTIVL.job','32');
 DeleteFile('C:\WINDOWS\Tasks\RegClean Pro_DEFAULT.job','32');
 DeleteFile('C:\WINDOWS\Tasks\RegClean Pro_UPDATES.job','32');
 DeleteFile('C:\Program Files\RCP\RegCleanPro.exe','32');
 DeleteFile('C:\Documents and Settings\Sosnogor\Application Data\NBTIVL.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте новые логи МВАМ и предоставьте текстовый, а не xml-файл

[Sosnogor]

Здравствуйте! App Lid и SmartSaver+ у меня и так удалены программой Revo Uninstaller, а через поиск были обнаружены файлы regdata я их удалил. Всё сделал как вы написали, карантин отправил, вот логи.

mbam-log-2015-02-08 (20-24-44).txt
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip

[thyrex]

Нужен текстовый, а не xml лог МВАМ

[Sosnogor]

Нужен текстовый, а не xml лог МВАМ

А как это сделать? Он мне пустой блокнот сохраняет когда я нажимаю сохранить и выбираю место, блокнот оказывается пустой.

[thyrex]

http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe пробуйте эту версию

[Sosnogor]

http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe пробуйте эту версию

App Lid и SmartSaver+ не удаляются из реестра, то что там есть удаляю, а они снова появляются.

Я скриншоты сделал или именно текстовый файл нужен?

1 http://jpegshare.net/bf/34/bf3446947...71b79.jpg.html

2 http://jpegshare.net/da/3f/da3f3f5ab...f0a44.jpg.html

3 http://jpegshare.net/e3/f0/e3f08699e...568c1.jpg.html

4 http://jpegshare.net/94/62/9462b7b87...f99a8.jpg.html

5 http://jpegshare.net/6d/f9/6df9b5ea9...e71e0.jpg.html

6 http://jpegshare.net/8b/6e/8b6efa1a8...aa27e.jpg.html

7 http://jpegshare.net/8d/05/8d05c233b...ba6fb.jpg.html

8 http://jpegshare.net/a3/d6/a3d6df4f6...21a92.jpg.html

9 http://jpegshare.net/8e/0e/8e0e9be88...5e265.jpg.html

[thyrex]

Нужен текстовый файл, а не скриншоты

[Sosnogor]

Нужен текстовый файл, а не скриншоты

MBAM-log-2015-02-10 (23-49-11).txt


Вот, что теперь делать? Вы не знаете почему более новые версии Malwarebytes не сохраняют в блокноте? И почему App Lid и SmartSaver+ не удаляются из реестра?

[thyrex]

Вопрос к авторам МВАМ, почему новыке версии не всегда работают нормально.

Удалите в МВАМ все, кроме

Код:

C:\Program Files\Boilsoft\Boilsoft Video Joiner\boilsoft.video.joiner-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
C:\Program Files\Boilsoft\Boilsoft Video Splitter\boilsoft.video.splitter-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
C:\System Volume Information\_restore{65F750F0-C58F-4166-88A5-5BAFF6C31F75}\RP108\A0017243.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\System Volume Information\_restore{65F750F0-C58F-4166-88A5-5BAFF6C31F75}\RP118\A0019874.dll (PUP.Optional.Nova.A) -> Действие не было предпринято.
D:\System Volume Information\_restore{65F750F0-C58F-4166-88A5-5BAFF6C31F75}\RP102\A0016724.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\Игры\Resident Evil 6\Resident.Evil.6.Update.6-RELOADED\Crack\steam_api.dll (Trojan.VirTool) -> Действие не было предпринято.
D:\Игры\Revenant\Revenant\install\dtlite.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Новая папка\The KMPlayer 3.1.0.0.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Новая папка\Process Lasso Pro v7.8.0.4 Final Ml_Rus\Keygen-BRD\Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Новая папка\Winamp\winamp.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Новая папка\AVS Video Editor\AVS VE v6.4.1.240_ AVS VR v4.2.1.152_AVS VC v8.4.1.540 Ml_Rus\Crk\AVS.products.Patcher-DVT\Patch.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Новая папка\Boilsoft Video\Boilsoft Video Joiner & Video Splitter 7.02.2 Eng_Rus\Boilsoft.Video.Joiner.7.02.2\patch\boilsoft.video.joiner-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Новая папка\Boilsoft Video\Boilsoft Video Joiner & Video Splitter 7.02.2 Eng_Rus\Boilsoft.Video.Splitter.7.02.2\patch\boilsoft.video.splitter-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Новая папка\Boilsoft Video\Boilsoft Video Joiner Video Splitter 7.02.2 [Eng+Rus] + Portable [Rus] by Invictus\Video Joiner 7.02.2\boilsoft.video.joiner-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Новая папка\Boilsoft Video\Boilsoft Video Joiner Video Splitter 7.02.2 [Eng+Rus] + Portable [Rus] by Invictus\Video Spliter 7.02.2\boilsoft.video.splitter-patch.exe (PUP.Riskware.Patcher) -> Действие не было предпринято.
D:\Новая папка\Nero Burning ROM 6.6.0.1 Rus\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
D:\Новая папка\Программы\Alcohol120\patch3105.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
D:\Новая папка\Программы\Nero Burning ROM 6.6.0.1 Rus\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
E:\Торрент\The KMPlayer 3.1.0.0.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
F:\Игры\Alien Shooter 2 (Lexis)\as2_nocd_full2.exe (Trojan.PolyCrypt.Gen) -> Действие не было предпринято.
F:\Игры\Alien Shooter 2 (Lexis)\Alien Shooter 2\AlienShooter.exe (Trojan.PolyCrypt.Gen) -> Действие не было предпринято.
F:\Игры\РПГ\Князь(трилогия)\Князь 3. Новая династия. Коллекционное издание (2009)\Князь 3. NoCd\K3Patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
G:\Игры\Serious Sam\Крутой Сэм HD Первая кровь\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.

[Sosnogor]

Сделал! А почему не удалять эти?
C:\System Volume Information\_restore{65F750F0-C58F-4166-88A5-5BAFF6C31F75}\RP108\A0017243.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\System Volume Information\_restore{65F750F0-C58F-4166-88A5-5BAFF6C31F75}\RP118\A0019874.dll (PUP.Optional.Nova.A) -> Действие не было предпринято.
D:\System Volume Information\_restore{65F750F0-C58F-4166-88A5-5BAFF6C31F75}\RP102\A0016724.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.

[thyrex]

Потому что это точки восстановления системы, и потенциальной угрозы эти записи не несут

[Sosnogor]

Потому что это точки восстановления системы, и потенциальной угрозы эти записи не несут

Всё ясно. Благодарю за помощь! Больше ничего ненужно делать? Скрипты никакие более вводить ненужно? Точки восстановления нельзя чистить?

[thyrex]

Точки восстановления нельзя чистить?

Не стоит

Что с проблемой?

[Sosnogor]

Не стоит

Что с проблемой?

После перезагрузки удалённых вирусов нет, App Lid и SmartSaver+ тоже из реестра исчезли. Я так понимаю, что это не только трояны, но и рекламные вирусы, а значит они могут снова появится, сканирование позволяет выявить их и удалить, одно не пойму, почему новая версия Malwarebytes постоянно сообщает о закрытии вредоносного сайта если я вообще по сайтам в это время не хожу.

Благодарю за помощь!

[thyrex]

Это не трояны, а именно рекламные вирусы

МВАМ любой версии неравнодушен к любой сетевой активности.

Удалите МВАМ

[Sosnogor]

Это не трояны, а именно рекламные вирусы

МВАМ любой версии неравнодушен к любой сетевой активности.

Удалите МВАМ

Удалил, почему его нужно удалять? Прошу прощения за вопросы, я не знаю в этом ничего, мне главное возможность проверить и удалить вредное.

[thyrex]

В данном случае Ваш вопрос - это отвлечение от помощи другим. Вам сказали удалить, значит, так и нужно сделать