Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Однозначно вирусы (заявка № 117662)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18

    Thumbs up Однозначно вирусы

    Здравствуйте!
    Недавно начались аномалии с компом, обнаружение процессов svchost.exe от имени пользователя, загрузка им ЦП по 25 % и т. д. Давно хотел написать тут, но все время справлялся стандартной инструкцией с проверкой системы MBAM, CureIT! и AVZ + пользовалься своей Авирой, каждый находил по 1-7 подозрительных файлов и удалял/помещал в карантин, и вроде все проблемы решились, svchost.exe от имени пользователя пропал, систему ничего не грузит, но вчера начались новые "приключения".
    Сначала у меня просто грохнулся браузер Mozilla, после открытия которого все мои 100500 вкладок были закрыти, осталась лишь одна - что то вроде mail.ru/?ffsputnik=1. Проблема уже в том, что я никогда не захожу на mail. Ладно, далее в диспетчере задач обнаружил 2 svchost.exe от имени пользователя, оба жрали по 25 %, сейчас при запуске компа только 1 так активно себя проявляет. Через Process Explorer обнаружил, что у одного из этих svchost.exe есть подпроцесс avconfig.exe. Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд. CureIT!, avz и MBAM ничего не нашли, авира нашла какие-то 2 файла во временной папке и добавила их в карантин. На днях, кстати, она же нашла некий файл Photo.class и так же отправила в карантин.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    327
    Уважаемый(ая) TommyeAsY, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Здравствуйте. avira выгружали при работе AVZ? Если нет, то лог нужно переделать.
    Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд
    это работа AVZ, ничего страшного.
    Paula rhei.
    Поддержать проект можно тут

  5. #4
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Цитата Сообщение от миднайт Посмотреть сообщение
    Здравствуйте. avira выгружали при работе AVZ? Если нет, то лог нужно переделать.
    Точно не помню, сделал новый лог с полностью отключенной авирой.

    Другой лог делал в безопасном режиме, и, соответственно, с выгруженной авирой.
    Вложения Вложения
    Последний раз редактировалось TommyeAsY; 08.03.2012 в 13:12.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    В AVZ выполните скрипт:

    Код:
    var StartupFolder:string;
    begin
    StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile(StartupFolder + '\gTDwR7qlo2A.exe','');
     DeleteFile(StartupFolder + '\gTDwR7qlo2A.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
    ExecuteRepair(3);
    ExecuteWizard('TSW',2,2,true);
     RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Все сделал, кроме лога MBAM. После скрипта процессы svchost.exe от имени пользователя исчезли. Провожу полную проверку MBAM.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Сделал лог, нашел 3 файла, 1 карантин, а два других я уже удалял ранее. Убить их снова?
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    Удалите все что нашел mbam, перегрузитесь, повторите сканирование mbam.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Пока ждал ответ, удалил 2 файла, оставив карантин. Сделал лог полного сканирования, помимо карантина еще что-то нашел во временной папке, удалил сейчас и его и перезагрузился, снова поставлю MBAM на сканирование. Помимо этого, не стал отключать авиру на момент проверки + повысил уровень безопасности, пока MBAM сканировал весь комп, авира пожаловалась на еще один файл временной папки:
    09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
    C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
    [ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
    [ИНФО] У Вас нет прав для доступа к файлу.
    09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
    C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
    [ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
    [ИНФО] У Вас нет прав для доступа к файлу.
    Кстати, стал замечать новые папки со странными названиями на диске C: K6OnBf903MeGJaw, kBawvXSGcz0hr5h, mVgh5wdcjNjmTYr и qUecbDfhmvgQ6DL, в первой есть файл bplglstcch.cache размером 377 КБ, в трех других по 2 файла: klpclst.dat и wndsksi.inf, оба по 1 КБ, .inf файл скрытый.
    Вложения Вложения

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Сделайте логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Done
    MBAM после ребута еще раз просканил весь комп, ничего не нашел пока. Я могу удалить вышеуказанные папки в директории диска C?
    Вложения Вложения
    • Тип файла: txt log.txt (30.0 Кб, 2 просмотров)
    • Тип файла: txt info.txt (14.6 Кб, 2 просмотров)
    Последний раз редактировалось TommyeAsY; 09.03.2012 в 12:06.

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\okora.sys','');
     DeleteFile('C:\WINDOWS\okora.sys');
     DeleteFile('C:\plg.txt');
    DeleteFileMask('C:\mVgh5wdcjNjmTYr', '*.*', true);
    DeleteDirectory('C:\mVgh5wdcjNjmTYr');
    DeleteFileMask('C:\Documents and Settings\Admin\Application Data\mVgh5wdcjNjmTYr', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\Admin\Application Data\mVgh5wdcjNjmTYr');
    DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи RSIT
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. thyrex получил(а) благодарность за это сообщение от


  15. #13
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Done
    Вложения Вложения
    • Тип файла: txt log.txt (25.9 Кб, 1 просмотров)

  16. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,466
    Вес репутации
    729
    - Очистите темп-папки, кэш браузеров, cookies и корзину.

    Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Что с проблемой теперь?
    Paula rhei.
    Поддержать проект можно тут

  17. #15
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Все сделал, после перезагрузки и повторного выполнения скрипта АВЗ сказал, что частоиспользуемые уязвимости не обнаружены(до этого было 12). С проблемой все то же, что и было до закрытия уязвимостей - аномалии пока не проявляются никак - с тех пор, как я выполнил первый скрипт в теме процессов svchost.exe, запущенных от имени пользователя и пожирающих 25-50% больше нет, а в директории диска C до сих пор указанные мною выше папки, которые я не трогал, кроме mVgh5wdcjNjmTYr - ее удалил скрипт, данный мне thyrex-ом.

  18. #16
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1691
    Сделайте свежий лог AVZ

  19. #17
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Done

    Btw, вспомнил, ранее несколько раз был кратковременный обрыв интернет соединения с последующей системной ошибкой Windows и конфликте с ip-адресом других компьютеров. Дома юзаю проводной роутер, раздающий инет на 3 компа, DHCP.
    Вложения Вложения
    Последний раз редактировалось TommyeAsY; 09.03.2012 в 23:18.

  20. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Сделайте лог TDSSkiller
    Сделайте лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  21. #19
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    18
    Done
    Вложения Вложения

  22. #20
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,626
    Вес репутации
    2917
    Что с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  • Уважаемый(ая) TommyeAsY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 17:01
    2. Вирусы. Однозначно.
      От visahouse в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 14.08.2009, 08:59
    3. Ответов: 4
      Последнее сообщение: 30.07.2009, 18:25
    4. Ответов: 1
      Последнее сообщение: 10.03.2009, 19:09
    5. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00814 seconds with 23 queries