Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 24.

Компьютер заражен шпионским ПО (заявка № 157218)

  1. #1
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60

    Компьютер заражен шпионским ПО

    Здравствуйте.
    Более чем уверен, что компьютер заражен каким то шпионским ПО.
    Обычно в ночное время, когда компьютер находиться в бездействии и в спящем режиме, каким то случайным образом оно включается, хотя никакие программы не работают, которые бы могли совершить какие то действия и включить компьютер. Думаю в зашифрованном режиме работает криптованный от антивирусов ПО, например RMS (уже был случай), который не всегда подключен к компьютеру и обычно подключаются в ночное время.

    Просьба при изучении логов обратить внимание на это.
    Заранее спасибо.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) compik, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  6. Это понравилось:


  7. #4
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Спасибо за ответ, прикрепляю отчет.

  8. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:
    HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1M1F1J1T -> Действие не было предпринято.
    
    Обнаруженные папки:
    C:\Users\User\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\OpenCandy\0048C3969BA64195A99857DCF3E98F2E (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\OpenCandy\OpenCandy_0048C3969BA64195A99857DCF3E98F2E (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\User\AppData\Local\Temp\nsaA90.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\nsk3FD5.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\nsk42E2.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\nskEC5.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\nsv1211.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\nsv45E0.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\nsw98DA.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Local\Temp\uttAAF3.tmp.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\User\AppData\Roaming\OpenCandy\0048C3969BA64195A99857DCF3E98F2E\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. Это понравилось:


  10. #6
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Новый лог.

  11. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Что с проблемой?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  12. Это понравилось:


  13. #8
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Конкретно вчера не наблюдал проблемы, думаю проблема решена
    Перевел немного на развитие проекта, по указанным реквизитам здесь. Спасибо за помощь!

  14. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. Это понравилось:


  16. #10
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Лог SecurityCheck.

  17. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    MBAM деинсталируйте.

    Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Запрос на повышение прав для администраторов отключен
    JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
    ^Скачайте javafx-2_2_21-windows-i586.exe^
    Java 7 Update 40 v.7.0.400 Внимание! Скачать обновления
    ^Скачайте jre-8-windows-i586.exe^
    Bonjour v.2.0.4.0 Внимание! Скачать обновления
    Adobe Reader X (10.1. v.10.1.8 Внимание! Скачать обновления
    Mozilla Firefox 27.0.1 (x86 ru) v.27.0.1 Внимание! Скачать обновления


    Советы и рекомендации после лечения компьютера

  18. Это понравилось:


  19. #12
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Большое спасибо за помощь!

  20. #13
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Проблема снова появилась
    Советы и рекомендации тоже выполнил, все программы обновил.

  21. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от compik Посмотреть сообщение
    Проблема снова появилась
    подробно опишите проблему.

  22. Это понравилось:


  23. #15
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Цитата Сообщение от regist Посмотреть сообщение
    подробно опишите проблему.
    Обычно в ночное время, когда компьютер находиться в бездействии и в спящем режиме, каким то случайным образом оно включается, хотя никакие программы не работают, которые бы могли совершить какие то действия и включить компьютер. Думаю в зашифрованном режиме работает криптованный от антивирусов ПО, например RMS (уже был случай), который не всегда подключен к компьютеру и обычно подключаются в ночное время.

  24. #16

  25. Это понравилось:


  26. #17
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Прикрепляю лог.

  27. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Users\Grish\Desktop\StartupRun1.22.exe,','');
     QuarantineFile('C:\Users\User\Desktop\StartupRun1.22.exe','');
     QuarantineFile('C:\Program Files (x86)\QIP 2012\qip.exe','');
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

  28. Это понравилось:


  29. #19
    Junior Member Репутация
    Регистрация
    03.03.2008
    Сообщений
    213
    Вес репутации
    60
    Отправил quarantine.zip

  30. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от regist Посмотреть сообщение
    StartupRun1.22.exe
    это вам знакомо? DrWEB 6.0 детектит этот файл как зловред Tool.StartupRun.122;

  31. Это понравилось:


  • Уважаемый(ая) compik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Компьютер заражен.
      От Michael2611 в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 08.12.2010, 12:05
    2. Компьютер заражен.
      От Goganof в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.05.2010, 21:55
    3. Файл userinit.exe подменен шпионским
      От khopavel в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 24.02.2010, 19:54
    4. компьютер заражен
      От faxmax в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.05.2009, 21:52

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00058 seconds with 19 queries