Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Однозначно вирусы (заявка № 117662)

  1. #1
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45

    Thumbs up Однозначно вирусы

    Здравствуйте!
    Недавно начались аномалии с компом, обнаружение процессов svchost.exe от имени пользователя, загрузка им ЦП по 25 % и т. д. Давно хотел написать тут, но все время справлялся стандартной инструкцией с проверкой системы MBAM, CureIT! и AVZ + пользовалься своей Авирой, каждый находил по 1-7 подозрительных файлов и удалял/помещал в карантин, и вроде все проблемы решились, svchost.exe от имени пользователя пропал, систему ничего не грузит, но вчера начались новые "приключения".
    Сначала у меня просто грохнулся браузер Mozilla, после открытия которого все мои 100500 вкладок были закрыти, осталась лишь одна - что то вроде mail.ru/?ffsputnik=1. Проблема уже в том, что я никогда не захожу на mail. Ладно, далее в диспетчере задач обнаружил 2 svchost.exe от имени пользователя, оба жрали по 25 %, сейчас при запуске компа только 1 так активно себя проявляет. Через Process Explorer обнаружил, что у одного из этих svchost.exe есть подпроцесс avconfig.exe. Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд. CureIT!, avz и MBAM ничего не нашли, авира нашла какие-то 2 файла во временной папке и добавила их в карантин. На днях, кстати, она же нашла некий файл Photo.class и так же отправила в карантин.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) TommyeAsY, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Здравствуйте. avira выгружали при работе AVZ? Если нет, то лог нужно переделать.
    Помимо прочего, пока ззаходил на virusinfo, у меня почему-то в адресной строке появилась надпись "test" около 10 раз подряд
    это работа AVZ, ничего страшного.
    Paula rhei.
    Поддержать проект можно тут

  5. #4
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Цитата Сообщение от миднайт Посмотреть сообщение
    Здравствуйте. avira выгружали при работе AVZ? Если нет, то лог нужно переделать.
    Точно не помню, сделал новый лог с полностью отключенной авирой.

    Другой лог делал в безопасном режиме, и, соответственно, с выгруженной авирой.
    Вложения Вложения
    Последний раз редактировалось TommyeAsY; 08.03.2012 в 13:12.

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    В AVZ выполните скрипт:

    Код:
    var StartupFolder:string;
    begin
    StartupFolder:= RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile(StartupFolder + '\gTDwR7qlo2A.exe','');
     DeleteFile(StartupFolder + '\gTDwR7qlo2A.exe');
     BC_ImportAll;
     ExecuteSysClean;
     BC_Activate;
    ExecuteRepair(3);
    ExecuteWizard('TSW',2,2,true);
     RebootWindows(true);
    end.

    После перезагрузки

    Код:
    begin 
    CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); 
    end.

    Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.
    Логи повторите.
    Сделайте лог полного сканирования MBAM
    Paula rhei.
    Поддержать проект можно тут

  7. #6
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Все сделал, кроме лога MBAM. После скрипта процессы svchost.exe от имени пользователя исчезли. Провожу полную проверку MBAM.
    Вложения Вложения

  8. #7
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Сделал лог, нашел 3 файла, 1 карантин, а два других я уже удалял ранее. Убить их снова?
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    Удалите все что нашел mbam, перегрузитесь, повторите сканирование mbam.
    Paula rhei.
    Поддержать проект можно тут

  10. #9
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Пока ждал ответ, удалил 2 файла, оставив карантин. Сделал лог полного сканирования, помимо карантина еще что-то нашел во временной папке, удалил сейчас и его и перезагрузился, снова поставлю MBAM на сканирование. Помимо этого, не стал отключать авиру на момент проверки + повысил уровень безопасности, пока MBAM сканировал весь комп, авира пожаловалась на еще один файл временной папки:
    09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
    C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
    [ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
    [ИНФО] У Вас нет прав для доступа к файлу.
    09.03.2012,7:53:55 [ОБНАРУЖЕНО] Троянская программа TR/Dldr.Carberp.C.575!
    C:\Documents and Settings\Admin\Local Settings\temp\DA.tmp
    [ПОЛЬЗОВАТЕЛЬ] MICROSOF-8E00D2\ADMIN
    [ИНФО] У Вас нет прав для доступа к файлу.
    Кстати, стал замечать новые папки со странными названиями на диске C: K6OnBf903MeGJaw, kBawvXSGcz0hr5h, mVgh5wdcjNjmTYr и qUecbDfhmvgQ6DL, в первой есть файл bplglstcch.cache размером 377 КБ, в трех других по 2 файла: klpclst.dat и wndsksi.inf, оба по 1 КБ, .inf файл скрытый.
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Done
    MBAM после ребута еще раз просканил весь комп, ничего не нашел пока. Я могу удалить вышеуказанные папки в директории диска C?
    Вложения Вложения
    • Тип файла: txt info.txt (14.6 Кб, 2 просмотров)
    • Тип файла: txt log.txt (30.0 Кб, 2 просмотров)
    Последний раз редактировалось TommyeAsY; 09.03.2012 в 12:06.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\okora.sys','');
     DeleteFile('C:\WINDOWS\okora.sys');
     DeleteFile('C:\plg.txt');
    DeleteFileMask('C:\mVgh5wdcjNjmTYr', '*.*', true);
    DeleteDirectory('C:\mVgh5wdcjNjmTYr');
    DeleteFileMask('C:\Documents and Settings\Admin\Application Data\mVgh5wdcjNjmTYr', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\Admin\Application Data\mVgh5wdcjNjmTYr');
    DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST', '*.*', true);
    DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи RSIT
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #13
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Done
    Вложения Вложения
    • Тип файла: txt log.txt (25.9 Кб, 1 просмотров)

  16. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,618
    Вес репутации
    764
    - Очистите темп-папки, кэш браузеров, cookies и корзину.

    Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
    Перезагрузите компьютер.
    Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Что с проблемой теперь?
    Paula rhei.
    Поддержать проект можно тут

  17. #15
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Все сделал, после перезагрузки и повторного выполнения скрипта АВЗ сказал, что частоиспользуемые уязвимости не обнаружены(до этого было 12). С проблемой все то же, что и было до закрытия уязвимостей - аномалии пока не проявляются никак - с тех пор, как я выполнил первый скрипт в теме процессов svchost.exe, запущенных от имени пользователя и пожирающих 25-50% больше нет, а в директории диска C до сих пор указанные мною выше папки, которые я не трогал, кроме mVgh5wdcjNjmTYr - ее удалил скрипт, данный мне thyrex-ом.

  18. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Сделайте свежий лог AVZ

  19. #17
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Done

    Btw, вспомнил, ранее несколько раз был кратковременный обрыв интернет соединения с последующей системной ошибкой Windows и конфликте с ip-адресом других компьютеров. Дома юзаю проводной роутер, раздающий инет на 3 компа, DHCP.
    Вложения Вложения
    Последний раз редактировалось TommyeAsY; 09.03.2012 в 23:18.

  20. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог TDSSkiller
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  21. #19
    Junior Member Репутация
    Регистрация
    20.02.2012
    Сообщений
    20
    Вес репутации
    45
    Done
    Вложения Вложения

  22. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) TommyeAsY, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Вирусы-картинки и вирусы-музыка?
      От catmen08 в разделе Общая сетевая безопасность
      Ответов: 16
      Последнее сообщение: 04.05.2010, 17:01
    2. Вирусы. Однозначно.
      От visahouse в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 14.08.2009, 08:59
    3. Ответов: 4
      Последнее сообщение: 30.07.2009, 18:25
    4. Ответов: 1
      Последнее сообщение: 10.03.2009, 19:09
    5. Ответов: 9
      Последнее сообщение: 22.02.2009, 09:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01145 seconds with 20 queries