Странное поведение

Здравствуйте. Есть сомнение на честную и правильную работу моего компьютера
Недавно устанавливал игру Minecraft. После ее установки компьютер сам перезагрузился, что меня очень напугало. Следов заражения не было. Прошу обратить внимание, что компьютер перезагрузился так,как будто его перезагрузили кнопкой. Похоже, это не из-за установки.
Сегодня скачивал программу, кис11 написал, что ее поведение похоже на PDM.Keylogger , но разрешил. Программу я сразу удалил.
Часто прохожу у Вас лечение, решил на всякий случай перестраховаться. Спасибо.

Здравствуйте.
Ничего подозрительного, кроме
[CODE]C\ooVoo.exe[/CODE]
Это Вы сами ставили?
[quote="venus;810513"]поведение похоже на PDM.Keylogger[/quote]
Это проактивка сработала, у нее часто бывают фолсы.

Спасибо. Программу ooVoo.exe ставил я сам, но как вы написали, в корне диска С ее нет.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Папка программы находится в C:\\Program Files\Oovoo
Это почти скайп, только там без веб-камеры общаться невозможно.

[size="1"][color="#666686"][B][I]Добавлено через 34 секунды[/I][/B][/color][/size]

А почему она подозрительна? У нее странное поведение ,или у вас подозрения были что это вирус со странным именем?

Выполните скрипт в AVZ:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\ooVoo.exe','');
BC_ImportQuarantineList;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Затем выполните ещё один скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
И пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).

Пишу с нетбука, выполнил скрипт, сейчас перезагружается. Карантин с использованием прямого чтения - ошибка было высвечено...
И еще - Windows странно выключалась, не с голубым экраном, как обычно, а с маленьким окошком..

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Файл сохранён как 110718_141756_quarantine_4e2440940e85d.zip
Размер файла 556
MD5 ceba958684fdaf04f1ef130905f1c583

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

Я удивлен, что Вы говорите, что ooVoo.exe лежит в корне диска C.
У меня показывает скрытые файлы и папки, но я его не вижу. И авз похоже, тоже..

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

Hedgars, я сам просмотрел логи и убедился, что у меня в автозапуске oovoo.exe.
Такого файла нет ни в корне диска, не в автозагрузке Msconfig..
похоже, это правда зловред.

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Я сейчас зашел в менеджер автозапуска в avz, написано, что файл C\ooVoo.exe действительно есть в автозапуске, но он помечен черным шрифтом, значит файла уже не существует??

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Погуглив, обнаружил, что она должна запускаться так : C:\Program Files\ooVoo\oovoo.exe /minimized
Но у меня запускается так: C\oovoo.exe /minimized значит, это ошибка в коде, похоже...
Смутило только запись в логе avz "Статус: Активен"
Я деинсталлировал программу oovoo. Еще смутило то, где располагается автозапуск этой программы в реестре, а именно [QUOTE]HKEY_USERS, S-1-5-21-1659004503-1202660629-682003330-1006\Software\Microsoft\Windows\CurrentVersion\Run, ooVoo[/QUOTE]

Еще нашел в интернете лог-файл одного пользователя:
[QUOTE]O4 - HKCU\..\Run: [ooVoo.exe] C:\Program Files\ooVoo\ooVoo.exe /minimized
O4 - HKCU\..\Run: [ooVoo] C\ooVoo.exe /minimized[/QUOTE]
Похоже, что все нормально, и это, наверное так программа oovoo записывает себя в реестре.

[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]

Кстати, что у меня делает Хром в автозагрузке и он активен, хотя я его не запускал?

[size="1"][color="#666686"][B][I]Добавлено через 45 минут[/I][/B][/color][/size]

удалил запись реестра с автозапускомэтой программы..

[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]

Мои дела плохи или еще есть надежда на спасение? :)
Буду надеяться, что у меня больше нет зловредов. Ну так что, C\oovoo.exe был зловредом или нет?

[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]

Вы знаете, но мне почему-то кажется, что [QUOTE]C\oovoo.exe[/QUOTE] в автозапуске - это тулбар Oovoo.

[quote="venus;810533"]C\oovoo.exe был зловредом или нет?[/quote]
Не попал он в карантин.
Поищите его ручками в корне диска. Если такой найдется, запакуйте в архив с паролем [B]virus[/B] и закачайте как карантин.

Такого файла не нашлось. Что дальше делать?

Давайте предположим, что oovoo.exe - часть программы Oovoo. У меня больше нет зловредов?

[quote="venus;810578"]Что дальше делать?[/quote]
Раз нету - значит и бояться нечего. Глюк парсера AVZ, скорее всего.

Как всегда спасибо, hedgars :)
С уважением, винус.
P.S. Правда, что с помощью правильных настроек кис11 можно обезопасить себя от winlock`а? Извините за оффтоп.

[quote="venus;810591"]кис11 можно обезопасить себя от winlock`а?[/quote]
Да, есть такое. Подробно описано [URL="http://www.anti-malware.ru/node/2179"]здесь[/URL], правда оно для 2010.

[QUOTE=hedgars;810598]Да, есть такое. Подробно описано [URL="http://www.anti-malware.ru/node/2179"]здесь[/URL], правда оно для 2010.[/QUOTE]

ДА! Именно оно! Спасибо! Именно этот трюк я проделывал с кис 2011 на нетбуке. СПАСИБО ОГРОМНОЕ, МОЙ СПАСИТЕЛЬ! Счастья и всех благ вам.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]