-
Junior Member
- Вес репутации
- 60
Компьютер заражен шпионским ПО
Здравствуйте.
Более чем уверен, что компьютер заражен каким то шпионским ПО.
Обычно в ночное время, когда компьютер находиться в бездействии и в спящем режиме, каким то случайным образом оно включается, хотя никакие программы не работают, которые бы могли совершить какие то действия и включить компьютер. Думаю в зашифрованном режиме работает криптованный от антивирусов ПО, например RMS (уже был случай), который не всегда подключен к компьютеру и обычно подключаются в ночное время.
Просьба при изучении логов обратить внимание на это.
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) compik, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 60
Спасибо за ответ, прикрепляю отчет.
-
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре:
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре:
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1M1F1J1T -> Действие не было предпринято.
Обнаруженные папки:
C:\Users\User\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\OpenCandy\0048C3969BA64195A99857DCF3E98F2E (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\OpenCandy\OpenCandy_0048C3969BA64195A99857DCF3E98F2E (PUP.Optional.OpenCandy) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Users\User\AppData\Local\Temp\nsaA90.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\nsk3FD5.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\nsk42E2.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\nskEC5.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\nsv1211.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\nsv45E0.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\nsw98DA.exe (PUP.Optional.SearchProtect.A) -> Действие не было предпринято.
C:\Users\User\AppData\Local\Temp\uttAAF3.tmp.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\User\AppData\Roaming\OpenCandy\0048C3969BA64195A99857DCF3E98F2E\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
-
-
Junior Member
- Вес репутации
- 60
-
-
-
Junior Member
- Вес репутации
- 60
Конкретно вчера не наблюдал проблемы, думаю проблема решена
Перевел немного на развитие проекта, по указанным реквизитам здесь. Спасибо за помощь!
-
- Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
-
-
Junior Member
- Вес репутации
- 60
-
MBAM деинсталируйте.
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
JavaFX 2.1.1 v.2.1.1 Внимание! Скачать обновления
^Скачайте javafx-2_2_21-windows-i586.exe^
Java 7 Update 40 v.7.0.400 Внимание! Скачать обновления
^Скачайте jre-8-windows-i586.exe^
Bonjour v.2.0.4.0 Внимание! Скачать обновления
Adobe Reader X (10.1. v.10.1.8 Внимание! Скачать обновления
Mozilla Firefox 27.0.1 (x86 ru) v.27.0.1 Внимание! Скачать обновления
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 60
Большое спасибо за помощь!
-
Junior Member
- Вес репутации
- 60
Проблема снова появилась
Советы и рекомендации тоже выполнил, все программы обновил.
-
Сообщение от
compik
Проблема снова появилась
подробно опишите проблему.
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
regist
подробно опишите проблему.
Обычно в ночное время, когда компьютер находиться в бездействии и в спящем режиме, каким то случайным образом оно включается, хотя никакие программы не работают, которые бы могли совершить какие то действия и включить компьютер. Думаю в зашифрованном режиме работает криптованный от антивирусов ПО, например RMS (уже был случай), который не всегда подключен к компьютеру и обычно подключаются в ночное время.
-
-
-
Junior Member
- Вес репутации
- 60
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Grish\Desktop\StartupRun1.22.exe,','');
QuarantineFile('C:\Users\User\Desktop\StartupRun1.22.exe','');
QuarantineFile('C:\Program Files (x86)\QIP 2012\qip.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
-
-
Junior Member
- Вес репутации
- 60
-
Сообщение от
regist
StartupRun1.22.exe
это вам знакомо? DrWEB 6.0 детектит этот файл как зловред Tool.StartupRun.122;
-