логи AVZ и hijack
логи AVZ и hijack
Уважаемый(ая) tushkan86rus, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
tushkan86rus, здравствуйте!
Запустите AVZ В меню Файл--Выполнить скрипт, в окошко вставьте текст:
И нажмите Запустить. Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe',''); QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE',''); DeleteFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\DigitalSite.job','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64'); DeleteFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','32'); DeleteFileMask('C:\Users\Владимир\appdata\roaming\mediahit\', '*', true); DeleteDirectory('C:\Users\Владимир\appdata\roaming\mediahit'); DeleteFileMask('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\', '*', true); DeleteDirectory('C:\Users\18EE~1\AppData\Roaming\DIGITA~1'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
После перезагрузки выполните скрипт:
Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением темы, чтобы прислать quarantine.zip.Код:begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Запустите HijackThis и нажмите Do a System Scan Only. В окошке найдите и отметьте строчки (если присутствуют):
Нажмите кнопку Fix checkedКод:O4 - HKCU\..\Run: [CMD] cmd.exe /c start http://extendedunlimited.org && exit
Подготовьте новый отчеты AVZ и HijackThis + подготовьте отчет AdwCleaner по инструкции: http://virusinfo.info/showthread.php?t=146192
логи AVZ, hijack, advcleaner
В AdwCleaner уберите флажки со следующих обнаруженных объектов:
и нажмите кнопку Очистить.Код:***** [ Файлы / Папки ] ***** C:\Program Files (x86)\Mail.Ru C:\Users\Владимир\AppData\Local\Mail.Ru C:\Users\Владимир\AppData\Local\MailRu C:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Пожалуйста, сообщите в следующем сообщении, наблюдается ли проблема.
после повторного сканирования в adv мне ничего не обнаружило (не обнаружило никаких программ совсем)
Извините, не заметил, что Вы их уже удалили. Проблема по-прежнему наблюдается?
Какой процесс больше всего загружает ЦП?
Подготовьте отчет Malwarebytes Anti-Malware по инструкции: http://virusinfo.info/showthread.php...=1#post1104657
да, загрузка ЦП хаотично колеблется от 15 до 60%
- - - Добавлено - - -
в процессах наблюдаю 4 процесса с названием conhost, все они 1 из них системный, остальные 3 local network, все 4 без описания
p.s. если вам это облегчит работу, то при выполнении некоторых начальных пунктов, где приходилось выключать интернет, работа ЦП почти нормализовывалась (колебания 1-4%)
Возможно, вам пригодится вот эта информация.да, загрузка ЦП хаотично колеблется от 15 до 60%
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
Служба, однако, активна, и работает с сетью. Раз WMP вам не нужен, то ее можно спокойно отключить и посмотреть, будет ли результат.Я не пользуюсь плеером виндовса,
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
странно, но ничего подобного я не нашел, из всего списка не нашел ничего похожего на Windows Media Player Network Sharing Service (извиняюсь, чуть ниже в той теме нашел ответ)
дождусь окончания скана anti malware и попробую отключить
Хорошо. Перезагрузитесь только после отключения, чтобы изменения вступили в силу.
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
anti-malware "встал" на предпоследней стадии проверки, дальше двигаться не желает, один файл проверяет больше 15 минут
- - - Добавлено - - -
отключение плеера не дало результатов
Ну тогда попробуйте все-таки получить лог МВАМ для дальнейших разбирательств.отключение плеера не дало результатов
[I]Nick Golovko
NCFU lecturer, information security specialist[/I]
переустановил виндовс без форматирования, нагрузка спала до, примерных, 20%, далее снял nvc(s?)streamer, который был процессом инвидиа и потреблял от 3 до 15% цп, и остановил "защитника виндовс", теперь цп "скачет" в районе 1-10%
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\users\владимир\appdata\roaming\mediahit\shadow\ mediahit.update\mediahit.update.process.exe - not-a-virus:HEUR:Downloader.Win32.LMN.gen
- c:\users\18ee~1\appdata\roaming\digita~2\update~1\ update~1.exe - not-a-virus:AdWare.Win32.DealPly.y ( DrWEB: Adware.Shopper.391, AVAST4: Win32:Rotbrow-B [Trj] )
Уважаемый(ая) tushkan86rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.