Показано с 1 по 12 из 12.

Странное поведение компьютера и интернета (заявка № 173457)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    25.12.2014
    Сообщений
    8
    Вес репутации
    8

    Странное поведение компьютера и интернета

    Однозначно какая-то зараза поселилась на моем компе. Симптомы. при загрузке файлов вылетает Megafon модем, постепенно снижается скорость работы интернета. У меня Windows 8 64 бит. Проверка AVZ выдает стабильный результат, отчет его скопировать не могу, так как выдает ошибку при копировании. CureIt никакой заразы не обнаружил. Антимайлваре поругался на браузер АМИГО, который я благополучно удалил, но проблема так и осталась. Подскажите куда копать. Результаты анализа http://virusinfo.info/virusdetector/...7BF5EA99C4B2D8

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    325
    Уважаемый(ая) Сергей Гаврилин, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    25.12.2014
    Сообщений
    8
    Вес репутации
    8
    Протокол антивирусной утилиты AVZ версии 4.43
    Сканирование запущено в 25.12.2014 11:36:43
    Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 25.12.2014 04:00
    Загружены микропрограммы эвристики: 407
    Загружены микропрограммы ИПУ: 9
    Загружены цифровые подписи системных файлов: 711540
    Режим эвристического анализатора: Максимальный уровень эвристики
    Режим лечения: выключено
    Версия Windows: 6.2.9200, "Windows 8.1 Pro" ; AVZ работает с правами администратора
    Восстановление системы: включено
    1. Поиск RootKit и программ, перехватывающих функции API
    1.1 Поиск перехватчиков API, работающих в UserMode
    Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
    Функция kernel32.dll:ReadConsoleInputExA (1094) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E8297A->75B0D435
    Функция kernel32.dll:ReadConsoleInputExW (1095) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E829AD->75B0D459
    Анализ ntdll.dll, таблица экспорта найдена в секции .text
    Анализ user32.dll, таблица экспорта найдена в секции .text
    Анализ advapi32.dll, таблица экспорта найдена в секции .text
    Функция advapi32.dll:SystemFunction001 (1760) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F2D->75684A91
    Функция advapi32.dll:SystemFunction002 (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F49->756831B5
    Функция advapi32.dll:SystemFunction003 (1762) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F65->75683436
    Функция advapi32.dll:SystemFunction004 (1763) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F81->75684756
    Функция advapi32.dll:SystemFunction005 (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED7F9D->7568489F
    Функция advapi32.dll:SystemFunction034 (1793) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED8261->756832F4
    Функция advapi32.dll:SystemFunction036 (1795) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED829A->756811C0
    Функция advapi32.dll:SystemFunction040 (1796) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED82B6->75681256
    Функция advapi32.dll:SystemFunction041 (1797) перехвачена, метод ProcAddressHijack.GetProcAddress ->75ED82D2->756812AA
    Анализ ws2_32.dll, таблица экспорта найдена в секции .text
    Анализ wininet.dll, таблица экспорта найдена в секции .text
    Анализ rasapi32.dll, таблица экспорта найдена в секции .text
    Анализ urlmon.dll, таблица экспорта найдена в секции .text
    Анализ netapi32.dll, таблица экспорта найдена в секции .text
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
    1.4 Поиск маскировки процессов и драйверов
    Проверка не производится, так как не установлен драйвер мониторинга AVZPM
    1.5 Проверка обработчиков IRP
    Ошибка загрузки драйвера - проверка прервана [C000036B]
    2. Проверка памяти
    Количество найденных процессов: 34
    Анализатор - изучается процесс 2656 C:\Program Files (x86)\WIBUKEY\Server\WkSvw32.exe
    [ES]:Может работать с сетью
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Анализатор - изучается процесс 4744 C:\Program Files (x86)\Adguard\AdguardSvc.exe
    [ES]:Может работать с сетью
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Количество загруженных модулей: 292
    Проверка памяти завершена
    3. Сканирование дисков
    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Настройки LSP проверены. Ошибок не обнаружено
    5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
    6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
    Проверка отключена пользователем
    7. Эвристичеcкая проверка системы
    Проверка завершена
    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Таймаут завершения процессов находится за пределами допустимых значений
    >> Таймаут завершения служб находится за пределами допустимых значений
    >> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений
    Проверка завершена
    Просканировано файлов: 326, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
    Сканирование завершено в 25.12.2014 11:37:34
    Сканирование длилось 00:00:53
    Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
    то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
    Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
    можно использовать сервис http://virusdetector.ru/
    Выполняется исследование системы
    Диагностика сети
    DNS and Ping test
    Host="yandex.ru", IP="213.180.204.11,213.180.193.11,93.158.134.11", Ping=OK (0,1016,213.180.204.11)
    Host="google.ru", IP="37.29.1.40,37.29.1.39,37.29.1.49,37.29.1.59,37 .29.1.35,37.29.1.24,37.29.1.50,37.29.1.34,37.29.1. 55,37.29.1.29,37.29.1.45,37.29.1.54,37.29.1.25,37. 29.1.44,37.29.1.30,37.29.1.20", Ping=OK (0,949,37.29.1.40)
    Host="google.com", IP="37.29.1.40,37.29.1.39,37.29.1.50,37.29.1.45,37 .29.1.55,37.29.1.49,37.29.1.44,37.29.1.54,37.29.1. 59,37.29.1.29,37.29.1.35,37.29.1.30,37.29.1.24,37. 29.1.20,37.29.1.34,37.29.1.25", Ping=OK (0,1417,37.29.1.40)
    Host="www.kaspersky.com", IP="77.74.178.16", Ping=Error (11010,0,0.0.0.0)
    Host="www.kaspersky.ru", IP="93.159.228.17", Ping=Error (11010,0,0.0.0.0)
    Host="dnl-03.geo.kaspersky.com", IP="93.191.13.100", Ping=OK (0,97,93.191.13.100)
    Host="dnl-11.geo.kaspersky.com", IP="95.167.139.6", Ping=OK (0,590,95.167.139.6)
    Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,217,212.5.89.37)
    Host="odnoklassniki.ru", IP="217.20.147.94", Ping=OK (0,468,217.20.147.94)
    Host="vk.com", IP="87.240.131.117,87.240.143.241,87.240.131.118" , Ping=OK (0,182,87.240.131.117)
    Host="vkontakte.ru", IP="95.213.4.242,95.213.4.244,95.213.4.243", Ping=OK (0,200,95.213.4.242)
    Host="twitter.com", IP="199.16.156.38,199.16.156.6,199.16.156.102,199. 16.156.198", Ping=OK (0,368,199.16.156.3
    Host="facebook.com", IP="173.252.120.6", Ping=OK (0,911,173.252.120.6)
    Host="ru-ru.facebook.com", IP="31.13.90.65", Ping=OK (0,188,31.13.90.65)
    Network IE settings
    IE setting AutoConfigURL=
    IE setting AutoConfigProxy=wininet.dll
    IE setting ProxyOverride=
    IE setting ProxyServer=
    IE setting Internet\ManualProxies=
    Network TCP/IP settings
    Network Persistent Routes

    Исследование системы завершено

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Сделайте логи по правилам.
    WBR,
    Vadim

  6. #5
    Junior Member (OID) Репутация
    Регистрация
    25.12.2014
    Сообщений
    8
    Вес репутации
    8

    Прикладываю логи от AVZ и hijackthis

    Логи прикрепил
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти три файла к своему следующему сообщению.
    WBR,
    Vadim

  8. #7
    Junior Member (OID) Репутация
    Регистрация
    25.12.2014
    Сообщений
    8
    Вес репутации
    8

    Логи

    Прикладываю требуемые логи
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Удалите все версии Java, оставьте только одну - 8 или 7, 8-ю обновите до Update 25, а 7-ю, если оставите - до Update 71. 64-bit версии Java вообще обычно не нужны, т. к. работают только с x64 браузерами.

    information

    Уведомление

    Удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется, особенно совместно с другими защитными продуктами.



    Удалите SpyHunter 4, бесполезная программа при наличии антивируса.

    Удалите программу Time tasks, это Adware.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
    HKU\S-1-5-21-1918025668-394558449-1156404760-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=270b27556b9e9596da7b2d568f11ca38&text={searchTerms}
    HKU\S-1-5-21-1918025668-394558449-1156404760-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=270b27556b9e9596da7b2d568f11ca38&text={searchTerms}
    URLSearchHook: [S-1-5-21-1918025668-394558449-1156404760-1002] ATTENTION ==> Default URLSearchHook is missing.
    URLSearchHook: HKU\S-1-5-21-1918025668-394558449-1156404760-1002 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
    SearchScopes: HKU\S-1-5-21-1918025668-394558449-1156404760-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=270b27556b9e9596da7b2d568f11ca38&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-1918025668-394558449-1156404760-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=270b27556b9e9596da7b2d568f11ca38&text=
    CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path
    CHR HKLM-x32\...\Chrome\Extension: [fdhbkaahephniejapepaiggngjnedpci] - No Path
    CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path
    Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck" /f
    S3 MEMSWEEP2; C:\Windows\system32\2B9B.tmp [6144 2010-05-26] (Sophos Plc) [File not signed]
    ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://go.webalta.ru/?id=2&subid=915
    ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://go.webalta.ru/?id=2&subid=915
    ShortcutWithArgument: C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://go.webalta.ru/?id=2&subid=915
    ShortcutWithArgument: C:\Users\TEMP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://go.webalta.ru/?id=2&subid=915
    ShortcutWithArgument: C:\Users\СЕРГЕЙ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk -> C:\Users\СЕРГЕЙ\AppData\Local\Yandex\browser.bat () -> --"hxxp://dersearch.ru"
    ShortcutWithArgument: C:\Users\СЕРГЕЙ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk -> C:\Users\СЕРГЕЙ\AppData\Local\Yandex\browser.bat () -> --"hxxp://dersearch.ru"
    ShortcutWithArgument: C:\Users\СЕРГЕЙ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk -> C:\Users\СЕРГЕЙ\AppData\Local\Xpom\Application\go_internet.exe () -> hxxp://mail.ru/cnt/9824
    ShortcutWithArgument: C:\Users\СЕРГЕЙ\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk -> C:\Users\СЕРГЕЙ\AppData\Local\Yandex\browser.bat () -> --"hxxp://dersearch.ru"
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool (на рабочий стол в Вашем случае).
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Проблемы с модемом решайте переустановкой программы.
    WBR,
    Vadim

  10. #9
    Junior Member (OID) Репутация
    Регистрация
    25.12.2014
    Сообщений
    8
    Вес репутации
    8

    Лог

    Лог готов. Сделал все, яву пока только не до конца обновил
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    Удалите папку C:\FRST со всем содержимым.

    Что с проблемами?
    WBR,
    Vadim

  12. #11
    Junior Member (OID) Репутация
    Регистрация
    25.12.2014
    Сообщений
    8
    Вес репутации
    8
    Ну пока вроде работает все нормально. Хотя AVZ по прежнему пишет о каких-то перехватчиках, но думаю это могут быть другие какие-то программы так влиять на AVZ. И вопрос мимо темы. Планируется или может уже есть AVZ для Windows 8 x64 Bit?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,790
    Вес репутации
    779
    AVZ поддерживает Windows 8 x64, просто в 64-битных системах не работают некоторые подсистемы.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Странное поведение компьютера
    От Valevis в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 21.09.2013, 01:18
  2. Странное поведение компьютера.
    От Сева в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 21.03.2012, 08:43
  3. Очень странное поведение интернета
    От interfeys в разделе Помогите!
    Ответов: 0
    Последнее сообщение: 26.06.2011, 12:47
  4. Странное поведение компьютера
    От venus в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 13.06.2011, 18:06
  5. Странное поведение компьютера
    От Informic в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 20.12.2010, 23:47

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00981 seconds with 21 queries