В автозагрузке всегда появляются странные записи, например ntkrnlpa.lnk. При удалении всё сразу возвращается.
Также начал замечать, что svchost.exe отсылает черезчур много пакетов. Сеть потом работает на 25% - пакеты просто теряются и сайты открываются долго. Удалил process explorer этот svchost и интернет восстановился. В свойствах он находится в system32. Других похожих с названием файлов нет - напоминает руткит.
Вопрос - как всё это удалить. И закрыть бреши. Помогите, please
p.s. комп не мой, поэтому проверить сразу не смогу.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) brt1, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:
Код:
>> Обнаружен набор команд, запускаемых при старте cmd.exe
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe
C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\logman.exe
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
В MBAM удалите:
Код:
Обнаруженные параметры в реестре: 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://sandeta.com/themes/sde.exg -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\User\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - HKCU\..\Run: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe"
O4 - HKCU\..\RunOnce: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe"
O4 - HKUS\S-1-5-18\..\Run: [java] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [mmc] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\mmc.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WISPTIS] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\WISPTIS.EXE" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nvusmb] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\nvusmb.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [napstat] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\napstat.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [upnpcont] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\upnpcont.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [java] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'Default user')
O4 - .DEFAULT User Startup: java.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe (User 'Default user')
O4 - .DEFAULT User Startup: logman.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\logman.exe (User 'Default user')
O4 - .DEFAULT User Startup: makecab.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe (User 'Default user')
O4 - .DEFAULT User Startup: mmc.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\mmc.exe (User 'Default user')
O4 - .DEFAULT User Startup: napstat.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\napstat.exe (User 'Default user')
O4 - .DEFAULT User Startup: ntkrnlpa.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe (User 'Default user')
O4 - .DEFAULT User Startup: nvusmb.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\nvusmb.exe (User 'Default user')
O4 - .DEFAULT User Startup: rexec.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\rexec.exe (User 'Default user')
O4 - .DEFAULT User Startup: upnpcont.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\upnpcont.exe (User 'Default user')
O4 - .DEFAULT User Startup: wdfmgr.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\wdfmgr.exe (User 'Default user')
O4 - .DEFAULT User Startup: WISPTIS.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\WISPTIS.EXE (User 'Default user')
O4 - Startup: ntkrnlpa.lnk = ?
Сделайте логи RSIT.
+ Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
Скачайте ComboFix здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: