Вирус подцепляется к разным процессам и грузит ЦП [Trojan-Dropper.Win32.Injector.kfcw
]
Здраствуйте.
ЦП грузится до 100% (win7 x64), при этом его загружают различные процессы (либо какой-то один либо пара): explorer.exe, taskmgr.exe, biomonitor.exe, opera, touchControl и т.д. Проверка Windows доктором ничего не прояснила (скачал последнюю версию с оф. сайта).
Причина загрузки: что-то подключается к процессам и заставляет ЦП обрабатывать данные с clevermining.com и с зеркалов его. Если я закрывал explorer, то через несколько минут начинала загружать ЦП другой процесс (см. скриншот).
Также заметил, что explorer пытался изменить файл hosts и какой-то процесс изменить время (доктор выдал уведомления)
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Yuyu, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте новый лог HijackThis.
Скачайте и установите CCleaner
Free, запустите CCleaner, Сервис -> Автозагрузка -> Opera, правой кнопкой мыши по списку расширений, Сохранить отчёт. Файл с отчётом прикрепите к своему следующему сообщению.
Отлючите до перезагрузки антивирус, запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.
В uVS всплывает много ICQ, которым я не пользуюсь уже давно (но не удалял. Автозапуск через msconfig я отключал.) Это нормально? (Понял, что они не активные и не загружаются, так что нормально)
Последний раз редактировалось Yuyu; 16.06.2014 в 16:25.
перезагрузитесь, запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из файла.
После перезагрузки сделайте новый полный образ автозапуска uVS.
Справились, похоже, Dr. Web блокировал удаление трояна. Для анализа, пожалуйста, упакуйте файлы вида 2014-06-16_ЧЧ-ММ-СС_log.txt из папки с UVS - логи выполнения скриптов, их должно быть два, архив сюда вложением или на rghost и ссылку.
Процессор больше не грузится. Спасибо. Какую-нибудь информацию о вирусе можно? Мне интересно что за гадство это было.
Связано это с обновлением доктора или нет - не знаю, но соединение с интернетом какое-то странное: сайты открываются и скачивание происходит без проблем, а вот попытки поиска по сайту, залогивание или отправка ответа закрываются удаленным сервером. Причем бывает, что поработает всё нормально (обычно после подключения), потом опять закрывается. Но дело не в браузере, я думаю, т.к. соединение с сервером в игре тоже обрывается. DNS настроек у меня не было, поэтому сбиться они не могли после скрипта от Nikkollo. Используется МТС модем, то есть в настройке он не нуждается, насколько мне известно. Такое было и раньше, но гораздо реже. Может ли это быть с чем-то связано или следует обращаться в тех. поддержку?
Какую-нибудь информацию о вирусе можно? Мне интересно что за гадство это было.
Симптомы Вы и сами описали Слишком много заразы появляется, невозможно, да и нет смысла заниматься подробным их изучением и описанием. Судя по детекту касперского, в названии присутствует Trojan-Dropper и Injector - означает, что троян внедряет свой код в адресное пространство одной из запущенных программ, в Вашем случае, похоже, Оперы. Вы и сами, кстати, назвали тему весьма точно: " Вирус подцепляется к разным процессам..."
Сообщение от Yuyu
Связано это с обновлением доктора или нет - не знаю, но соединение с интернетом какое-то странное: сайты открываются и скачивание происходит без проблем, а вот попытки поиска по сайту, залогивание или отправка ответа закрываются удаленным сервером. Причем бывает, что поработает всё нормально (обычно после подключения), потом опять закрывается. Но дело не в браузере, я думаю, т.к. соединение с сервером в игре тоже обрывается. DNS настроек у меня не было, поэтому сбиться они не могли после скрипта от Nikkollo. Используется МТС модем, то есть в настройке он не нуждается, насколько мне известно. Такое было и раньше, но гораздо реже. Может ли это быть с чем-то связано или следует обращаться в тех. поддержку?
У Вас ещё Adware есть, давайте дочистим и поглядим на результат.
Слишком много заразы появляется, невозможно, да и нет смысла заниматься подробным их изучением и описанием
Я понимаю что вирусов миллионы. Меня заботит безопасность компьютера, но при этом я не настолько разбираюсь в работе вирусов, чтобы задать конкретный вопрос. Стараюсь избегать сомнительных сайтов и файлов. Потому и интересно как попался. А раз проверка доктором в безопасном режиме ничего не дала (несколько вирусов-то нашлось, но не тот, что был) и вирус умудрился даже подцепиться к сетевому фильтру от доктора (видно на скриншоте в 1-м посте), то в таком случае стоит ли создать пользовательскую учетную запись и заходить под ней?
в Вашем случае, похоже, Оперы
Необязательно к опере, т.к. если она была закрыта (или даже была открыта), то появлялись программы, которые, как мне кажется, не должны проситься в интернет: TouchControl от HP, explorer.exe, taskmgr.exe.
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладке Папки со всех пунктов, где упоминаются Mail.Ru и Yandex если используете программы от этих порталов.
Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.
По поводу работы под учёткой с правами пользователя. Это, в принципе, подход правильный, но, для начала, включите UAC, это даст больший уровень безопасности.
Установите Service Pack 1 для Windows 7 и все последующие обновления безопасности.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: