Здравейте..днес след сканиране с Malwarebytes' Anti-Malware програмата ми засече:Malwarebytes' Anti-Malware 1.36

Версия на базата от данни: 1998

Windows 5.1.2600 Service Pack 3

4/18/2009 09:59:54

mbam-log-2009-04-18 (09-59-54).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 87380

Изминало време: 3 minute(s), 30 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 2

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

Опасни ли са и след като ги изтрих имам ли някъкъв проблем с заразяане на PC

Изключил ли беше автоматичният ъпдейт на ОС и уведомяванията за това?

След рестарта имаше ли някакви промени по настройките на ОС които си правил?

http://www.malwarebytes.org/forums/index.php?showtopic=6196

http://www.malwarebytes.org/forums/index.p...f=41&t=6450

най добре ще ти обясни Би Бой

Редактирано 18 април 200917 г. от nikssi (преглед на промените)

Изключил ли беше автоматичният ъпдейт на ОС и уведомяванията за това?

След рестарта имаше ли някакви промени по настройките на ОС които си правил?

http://www.malwarebytes.org/forums/index.php?showtopic=6196

http://www.malwarebytes.org/forums/index.p...f=41&t=6450

най добре ще ти обясни Би Бой

Докато Би Бой ми обясни днес изкочиха други три гадини...пускам лог:

Malwarebytes' Anti-Malware 1.36

Версия на базата от данни: 2024

Windows 5.1.2600 Service Pack 3

4/22/2009 11:24:28

mbam-log-2009-04-22 (11-24-28).txt

Тип сканиране: Пълно сканиране (C:\|D:\|)

Сканирани обекти: 198909

Изминало време: 1 hour(s), 0 minute(s), 10 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 0

Заразени папки: 0

Заразени файлове: 3

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

(Не бяха открити заплахи)

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

C:\System Volume Information\_restore{4D6BEA17-F0FC-48F3-9A6E-F4DFEC719F06}\RP108\A0020806.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4D6BEA17-F0FC-48F3-9A6E-F4DFEC719F06}\RP108\A0020807.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{4D6BEA17-F0FC-48F3-9A6E-F4DFEC719F06}\RP108\A0020808.exe (Trojan.Agent) -> Quarantined and deleted successfully.

-------------------------------------------------------------------------------------------------------------------------------------

Какво става не разбирам..уж претендирам че съм защитен а то......?

То няма много какво да се обяснява. Просто си имал пренасочени асоциации на *.reg и на *.scr файловете.

Някои програми като iolo System Mechanic автоматично правят файловете с по-опасни разширения да се отварят с notepad.

модула "Fix Security Vulnerabilities" => "File Associations => Dangerous Files Types

При теб вероятно причината е друга, но така или иначе не е нищо сериозно. MBAM не трие ключа, а просто променя стойността да е тази по-подразбиране за Windows (или GOOD, вместо текущото състояние - BAD).

Спестява ти едно ходене до сайта:

http://www.dougknox.com/xp/file_assoc.htm

А за втория проблем, просто изключи System Restore:

http://www.kaldata.com/forums/index.php?showtopic=26927

То няма много какво да се обяснява. Просто си имал пренасочени асоциации на *.reg и на *.scr файловете.

Някои програми като iolo System Mechanic автоматично правят файловете с по-опасни разширения да се отварят с notepad.

модула "Fix Security Vulnerabilities" => "File Associations => Dangerous Files Types

При теб вероятно причината е друга, но така или иначе не е нищо сериозно. MBAM не трие ключа, а просто променя стойността да е тази по-подразбиране за Windows (или GOOD, вместо текущото състояние - BAD).

Спестява ти едно ходене до сайта:

http://www.dougknox.com/xp/file_assoc.htm

А за втория проблем, просто изключи System Restore:

http://www.kaldata.com/forums/index.php?showtopic=26927

МНОГО БЛАГОДАРЯ!

Здравейте....днес след скан на служебното PC ми засече това:

Malwarebytes' Anti-Malware 1.36

Версия на базата от данни: 2135

Windows 5.1.2600 Service Pack 3

15.5.2009 г. 17:52:50

mbam-log-2009-05-15 (17-52-50).txt

Тип сканиране: Бързо сканиране

Сканирани обекти: 81231

Изминало време: 2 minute(s), 49 second(s)

Заразени процеси в паметта: 0

Заразени модули в паметта: 0

Заразени ключове в регистратурата: 0

Заразени стойности в регистратурата: 0

Заразени информационни обекти в регистратурата: 1

Заразени папки: 0

Заразени файлове: 0

Заразени процеси в паметта:

(Не бяха открити заплахи)

Заразени модули в паметта:

(Не бяха открити заплахи)

Заразени ключове в регистратурата:

(Не бяха открити заплахи)

Заразени стойности в регистратурата:

(Не бяха открити заплахи)

Заразени информационни обекти в регистратурата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Заразени папки:

(Не бяха открити заплахи)

Заразени файлове:

(Не бяха открити заплахи)

Това проблем ли е...или не?

Здравей! Това не е никакъв проблем. MalwareBytes' Anti-Malware засича това, като проблем, колкото и странно да звучи, защото понякога промяната му, може би се прави от malware. Ако не искаш да ти го засича, просто го игнорирай.

Здравей!

Това не е никакъв проблем. MalwareBytes' Anti-Malware засича това, като проблем, колкото и странно да звучи, защото понякога промяната му, може би се прави от malware. Ако не искаш да ти го засича, просто го игнорирай.

Поздрави Fixer....!Благодаря ти ...аз и така направих...и си сложих IE 8

Днес изобщо не успявам да и обновя дефинициите - явно пак си имам особено интересен гост при единия домашен компютър. Връзката се блокира още в началото на изтеглянето им. Случвало ли се е на някой ? Сега умувам как невидимото да стане видимо. Излиза, че някои творци уважават тази програма. Поздрави

Днес изобщо не успявам да и обновя дефинициите - явно пак си имам особено интересен гост при единия домашен компютър. Връзката се блокира още в началото на изтеглянето им. Случвало ли се е на някой ? Сега умувам как невидимото да стане видимо. Излиза, че някои творци уважават тази програма. Поздрави

Или си имаш Conficker или някой rootkit...Пробвай със стъпките от тези теми (2-ра, 3-та или 4-та)...

http://www.malwarebytes.org/forums/index.php?showforum=52

Особено 4-та:

http://www.malwarebytes.org/forums/index.php?showtopic=12709

Да може, но когато ми остане време първо ще поразгледам нещата с AnVir Task Manager от http://www.anvir.com/taskmanager/ Поздрави

Process Explorer също би свършила работа, както и евентуално една проверка с HijackThis и Gmer. Искаш ли да те "опощим" с един Combofix ? (макар да не му се радваш особено си е доста полезен инструмент за такива случаи)...

Благодаря- могат още възможности да се измислят и гостите да станат повече. Тогава бих се чудил кой от тях какви ги твори и към кой каква "гостоприемност" следва да се приложи...Често обаче става една хубава каша и после е нужен преход към свеж Win.Понякога си е направо препоръчително човек да не се бави много - заради доста вероятни системни увреждания. Поне е интересно.

Проблемът е следният при сканиране с Malwarebytes намира следната мизерия Registry Data Items Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Изтривам го рестартирам компютъра и пак се появява на ново . Ако може някакъв съвет . Благодаря предварително При сканиране с АVG намира i-worm generic.crm спрян е систем рестора

Редактирано 19 май 200917 г. от shmur (преглед на промените)

Проблемът е следният при сканиране с Malwarebytes намира следната мизерия

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Изтривам го рестартирам компютъра и пак се появява на ново .

Ако може някакъв съвет .

Благодаря предварително

Форумът е снабден с търсачка, намираща се над прозорците с темите. Употребата й е задължителна с цел избягване на дублиращи се теми.

Колегата е отговорил само една страница по назад в темата точно на това запитване:

http://www.kaldata.com/forums/index.php?sh...2216&st=195

ЗДравейте момчета.имам проблем. ИНсталирам MAcaffe securyti и когато компа се рестартира започва да се изключва автоматично. като мина на сафе моде ми показва ,че проблема е между тази програма и TRend MIcro CLeaner. търсих навсякаде из компа и така не можах да я намеря тази програма.ЗАпочнах с контрол панела опитах и с перфект унисталер и пак нищо. някакви идеи как да намеря и изтрия TREND MICRO Благодаря.

Направете следното:

Моля, изтеглете SystemLook от един от тези линкове и запазете програмата на работния Ви плот.

Download Mirror #1

Download Mirror #2

• Кликнете два пъти върху SystemLook.exe, за да стартирате програмата.
• Копирайте съдържанието на следния код в текстовото поле на програмата.

  :folderfind
  *Trend Micro*
  
  :regfind
  *Trend Micro*

• Кликнете на бутона Look, за да започне сканирането.
• Когато сканирането завърши ще Ви се отвори Notepad с резултата от сканирането. Моля, публикувайте вашия лог в следващия си коментар.

Бележка: Освен това, вашият лог файл може да бъде открит на работния Ви плот с име SystemLook.txt

Направете следното:

Моля, изтеглете SystemLook от един от тези линкове и запазете програмата на работния Ви плот.

Download Mirror #1

Download Mirror #2

• Кликнете два пъти върху SystemLook.exe, за да стартирате програмата.
• Копирайте съдържанието на следния код в текстовото поле на програмата.

  :folderfind
  *Trend Micro*
  
  :regfind
  *Trend Micro*

• Кликнете на бутона Look, за да започне сканирането.
• Когато сканирането завърши ще Ви се отвори Notepad с резултата от сканирането. Моля, публикувайте вашия лог в следващия си коментар.

Бележка: Освен това, вашият лог файл може да бъде открит на работния Ви плот с име SystemLook.txt

Не знам.над 16 ч. сканира вече и не е приключил още до момента .

SystemLook v1.0 by jpshortstuff (18.05.09)

Log created at 19:59 on 19/05/2009 (Administrator - Elevation successful)

========== folderfind ==========

Searching for "*Trend Micro*"

No folders found.

========== regfind ==========

Searching for "*Trend Micro*"

Опитай с този инструмент:

http://www.geekstogo.com/forum/redirect.ph...d%2Fmsicuu2.exe

Здравейте, искам да попитам какво да ги правя тези: Malwarebytes' Anti-Malware 1.36 Database version: 2174 Windows 5.1.2600 Service Pack 3 24.5.2009 г. 12:40:18 mbam-log-2009-05-24 (12-40-14).txt Scan type: Quick Scan Objects scanned: 98498 Time elapsed: 4 minute(s), 13 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 1 Registry Values Infected: 1 Registry Data Items Infected: 2 Folders Infected: 0 Files Infected: 0 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation (Backdoor.Agent) -> No action taken. [3857535134304144385864454836344564463436414247386152585253384661368683837079853 6807985838077527085615270838774687084614756365680837684856685748079] Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken. [3857535134304144385864365451513847536454523851615248395356345138614674688380848 07185615674796980888461368683837079855570838474807961498077746874708461388981778 0 83708393398083687036776684847468368079858380774966797077] Registry Data Items Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. [5138494534363830414438586445483634456446343641424738615248395356345138614674688 38084807185615270688683748590013670798570839334798574557483868437748466677770478 0 857471903018130117] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. [5138494534363830414438586445483634456446343641424738615248395356345138614674688 38084807185615270688683748590013670798570839354816966857084377484666777704780857 4 71903018130117] Folders Infected: (No malicious items detected) Files Infected: (No malicious items detected) Последните две бяха игнорирани дълго, но реших пак да попитам за всеки случай

Редактирано 24 май 200917 г. от mila3 (преглед на промените)

Преди малко обнових до 1.37 и за първи път имам подобна реакция от Kaspersky по време на инсталацията на новата версия.

Преди малко обнових до 1.37 и за първи път имам подобна реакция от Kaspersky по време на инсталацията на новата версия.

Защо не им пишеш да ги питаш какво става?

Преди малко обнових до 1.37 и за първи път имам подобна реакция от Kaspersky по време на инсталацията на новата версия.

Нормално за поведенчески модул.

Обсъждано е доста отдавна. Nikssi ме попита веднъж затова по Л.С.

Отговор на Fatduck

Thanks,

Unfortunetly Kasp's PDM cant tell the difference between realworld malware and legitmate application performing the same action.Usually they flag our install process when the software auto-updates sad.gif

I do have some contacts @KLlabs but i know they do not use any form of whitelisting inorder to not alert to these 2 MBAM operations so unfortunetly there will be no change sad.gif

All the best!

Отговор на tigertron:

Това е нещо нормално за всяка програма със PDM защита. Много гадинки използват същия метод и ако инсталират драйвър става опасно. Затова Касперски пита дали да се позволи действието или да постави обекта под карантина. А и Fatduck го е казал много добре - не се прави разлика, при PDM-а, между реална заплаха и легитимна такава (МВАМ). Затова пита. Всеки червей може да се кръсти mbam-setup.exe, нали? Щеше да е ненормално, ако не питаше.

Защо не им пишеш да ги питаш какво става?

Очаквам да получа отговор B-boy[styLe] и той не закъсня.

Нормално за поведенчески модул.

Обсъждано е доста отдавна. Nikssi ме попита веднъж затова по Л.С.

Не не ,не ме разбра или аз не зададох правилно въпроса.Защо до сега не е реагирал така?До сега при всички обновявания на MBAM до версия 1.36 нямаше подобна реакция,какво точно,т.е защо нов драйвър, се мъчат от MBAM да внедрят със версия 1.37?Защо точно при това обновяване реагира,точно при тази версия 1.37?Какво толкова е специалното при тази версия,че се инсталира нов драйвър?

Редактирано 26 май 200917 г. от mihnev_sz (преглед на промените)

Не не ,не ме разбра,защо до сега не е реагирал така?До сега при всички обновявания на MBAM до версия 1.36 нямаше подобна реакция,какво точно се мъчат от MBAM да внедрят със версия 1.37?Защо точно при това обновяване реагира,точно при тази версия 1.37?

Питай Nikssi друже...той имаше същите съобщения сравнително наскоро.

Но незнам с коя версия на MBAM е бил - 1.36 или от някъде се е докопал до бетата на 1.37 и я е качил преждевременно...

Колкото до промените в новата версия на MBAM виж changelog-a

1. (FIXED) Dramatically improved product updating.

2. (FIXED) /runupdate now completely silent, including errors.

3. (ADDED) Protection module now 64-bit compatible (XP SP2 and higher only).

4. (ADDED) New 32-bit protection module for XP SP2 and higher.

5. (ADDED) New heuristics for Trojan.JSRedir and other infections.

6. (ADDED) Type of scan displayed on scanning page.

7. (ADDED) Support for Arabic and Estonian language.

PS: Може би си прав и това е дело на нов драйвер - нали вече се поддържа x64 битови Операционни Системи, а и swandog46 (автора на The Avenger) вече е в екипа на Malwarebytes...

@mila3 => според трима от админите първия ред е фалшива тревога, така че го ингорирай, както правиш и с последните 2 реда. Изтрий само втория.

В началото мислеха, че не е фалшива тревога, защото се използва от зловредни и легитимни приложения:

AdvancedSetup

Appears to be an undesirable item.

http://vil.nai.com/vil/content/v_143837.htm

Not sure but its possible they're trying to use an alternative method of file sharing.

http://technet.microsoft.com/en-us/library/cc957374.aspx

miekiemoes

Hi,

That's no False positive though...

http://vil.nai.com/vil/content/v_143837.htm

http://www.threatexpert.com/reports.aspx?find=NWCWorkstation

However, I'll add an extra filter to exclude the one with the legit dll under it, because that service is also used by legit ones. In this case mbam already filters, but I'll add an extra one

Но се оказа фалшива тревога, така че просто засега не го трий.

Ето какво ми отговориха за финал:

I'll request some logs for additional analysis like DDS and RSIT to verify this is FP.

Thanks for your fast reply.

All the best,

B-boy

miekiemoes

Not needed for the extra logs - we decided to remove that one from database anyway and only detect on the malicious file instead.

nosirrah

The top one is a FP already set to be removed in the next update .

Ето и темата потвърждаваща фалшивата тревога:

http://www.malwarebytes.org/forums/index.php?showtopic=16265

Редактирано 26 май 200917 г. от B-boy[StyLe] (преглед на промените)