Показано с 1 по 13 из 13.

Не пойму как вылечить (заявка № 156241)

  1. #1
    Junior Member Репутация
    Регистрация
    04.03.2014
    Сообщений
    11
    Вес репутации
    37

    Не пойму как вылечить

    В автозагрузке всегда появляются странные записи, например ntkrnlpa.lnk. При удалении всё сразу возвращается.

    Также начал замечать, что svchost.exe отсылает черезчур много пакетов. Сеть потом работает на 25% - пакеты просто теряются и сайты открываются долго. Удалил process explorer этот svchost и интернет восстановился. В свойствах он находится в system32. Других похожих с названием файлов нет - напоминает руткит.

    Вопрос - как всё это удалить. И закрыть бреши. Помогите, please

    p.s. комп не мой, поэтому проверить сразу не смогу.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) brt1, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Лог HiJackThis добавьте
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    04.03.2014
    Сообщений
    11
    Вес репутации
    37
    я его случайно запихнул в архив.

    дублирую...
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сделайте логи AVZ версией AVZ 4.43. Не забудьте обновить базы AVZ! Паковать отчет HiJackThis в отчет AVZ НЕ НУЖНО!!!
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    04.03.2014
    Сообщений
    11
    Вес репутации
    37
    добавил по просьбе
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Попробуем пока что через MBAM все это удалить.

    Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:

    Код:
    >>  Обнаружен набор команд, запускаемых при старте cmd.exe
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    04.03.2014
    Сообщений
    11
    Вес репутации
    37
    Исправил через AVZ по предложенному варианту. Дополнительно закрыл 4 службы (думаю еще парочку позакрывать)

    По первым впечатлениях всё работает хорошо.

    По поводу MBAM
    Очень смущают ветки реестра и непонятно, что за Malware.Trace

    Чем лечить и как. MBAM-ом?

    Спасибо
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Код:
    C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe
    C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\logman.exe
    Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    В MBAM удалите:

    Код:
    Обнаруженные параметры в реестре:  1
    HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://sandeta.com/themes/sde.exg -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Documents and Settings\User\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
    C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
    C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #10
    Junior Member Репутация
    Регистрация
    04.03.2014
    Сообщений
    11
    Вес репутации
    37
    Удалил.

    Запрашиваемых фалов нет (смотрите в прикрепленном файле).

    Отправить с папки windows/system32/dllcache?
    Вложения Вложения

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Файлы в автозагрузке похоже системные.

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    O4 - HKCU\..\Run: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe"
    O4 - HKCU\..\RunOnce: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe"
    O4 - HKUS\S-1-5-18\..\Run: [java] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Run: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [mmc] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\mmc.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [WISPTIS] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\WISPTIS.EXE" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nvusmb] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\nvusmb.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [napstat] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\napstat.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [upnpcont] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\upnpcont.exe" (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe" (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [java] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe" (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'Default user')
    O4 - .DEFAULT User Startup: java.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe (User 'Default user')
    O4 - .DEFAULT User Startup: logman.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\logman.exe (User 'Default user')
    O4 - .DEFAULT User Startup: makecab.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe (User 'Default user')
    O4 - .DEFAULT User Startup: mmc.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\mmc.exe (User 'Default user')
    O4 - .DEFAULT User Startup: napstat.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\napstat.exe (User 'Default user')
    O4 - .DEFAULT User Startup: ntkrnlpa.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe (User 'Default user')
    O4 - .DEFAULT User Startup: nvusmb.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\nvusmb.exe (User 'Default user')
    O4 - .DEFAULT User Startup: rexec.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\rexec.exe (User 'Default user')
    O4 - .DEFAULT User Startup: upnpcont.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\upnpcont.exe (User 'Default user')
    O4 - .DEFAULT User Startup: wdfmgr.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\wdfmgr.exe (User 'Default user')
    O4 - .DEFAULT User Startup: WISPTIS.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\WISPTIS.EXE (User 'Default user')
    O4 - Startup: ntkrnlpa.lnk = ?
    Сделайте логи RSIT.

    + Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    04.03.2014
    Сообщений
    11
    Вес репутации
    37
    Не все удалилось. Хоть админ права и есть, но при очередном scan они снова на месте. Эти строки видны в логах RSIT.

    Смущает в log.txt 150-153 строчки.
    Вложения Вложения

  18. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    В папке c:\users\Default\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Startup удалите ярлыки:

    Код:
    java.lnk
    logman.lnk
    makecab.lnk
    mmc.lnk
    napstat.lnk
    ntkrnlpa.lnk
    nvusmb.lnk
    rexec.lnk
    upnpcont.lnk
    wdfmgr.lnk
    WISPTIS.lnk
    Скачайте ComboFix здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. Это понравилось:


  • Уважаемый(ая) brt1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ничего не пойму
      От Александр Молчанов в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.05.2012, 13:48
    2. Не пойму что
      От BublickEnemy в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.06.2011, 13:18
    3. Ниче не пойму((
      От weryngton в разделе Помогите!
      Ответов: 28
      Последнее сообщение: 16.09.2010, 00:59
    4. Не пойму, в чем дело!
      От Zeberdee в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 08:05
    5. Не пойму
      От Mixernn в разделе Оффтоп
      Ответов: 1
      Последнее сообщение: 11.05.2007, 20:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01267 seconds with 20 queries