Здравствуйте, уважаемые гуру!
Помогите пожалуйста.
Дано.
Win7-64, ESS (нод нормально обновляется).
С некоторых пор (есть подозрение на конкретно установленную программу из случайного места) компьютер стал сильно тормозить и стали появляться следующие признаки живности
1.Примерно через 10 минут после запуска компа открывается ссылка в браузере по умолчанию (Мазила) на какое-то украинское СМИ. Если браузер не запущен - тогда запускается.
2. Стали выскакивать сообщения от ESS, по памяти, "подделка кэша DNS". Насколько помню dns настроены гугловские.
3.Сильно замедлена работа компьютера (почистили, температуру проверили). В перезагрузку тоже уходит ("Завершение работы....") крайне долго. Совсем недавно такого не было.
Что пробовалось.
1. Прогонка стандартным АВПТул ничего кроме знакомых файлов (вроде TNODEUP) не дала. Кстати, он вначале какую-то ошибку выдавал, ошибка загрузки драйвера вроде.
2. Пробовали поставить разрекламированные антируткиты (вроде Hitman, malware..., Spybot Search &Destroy, ...). Они без спроса снесли активацию, придрались к hasp и прочему. Пришлось делать множество откатов системы. В результате остались разные хвосты от разных установок, хаос системы увеличился. Больше пользоваться не буду. Переставлять винду не люблю.
3. В папке с-виндоус-темп лежат подозрительные файлы. Чистка руками ничего не дала, вкладка в браузере открывается снова.
Заранее благодарю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) C0NSUL, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пришлите карантин согласно Приложения 1 правил по красной ссылке Прислать запрошенный карантин вверху темы
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
1. Карантин с файлом "c:\program files (x86)\common files\syspwow\syspwow.exe" прислан по красной ссылке.
Файл сохранён как 150315_034749_virus_5504c8a55c417.zip
Размер файла 3194530
MD5 014581d9c2bf07c328170a05604fb801
2. Процедура (http://virusinfo.info/content.php?r=290-virus-detector) проведена, однако файл virusinfo_auto_имя_вашего_ПК.zip, как архив, оказался пустым. Тем не менее прикрепил по инструкции. Подробности:
имяфайла virusinfo_auto_C0NSUL_STATION.zip,
MD5 карантина: 76CDB2BAD9582D23C1F6F4D868218D6C,
Размер файла: 22
3. Процедура Farbar Recovery Scan Tool выполнена. Подробности (2 файла) прикрепляю.
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Специально подождал проявление выскакивающей ссылки, так как выскакивала не сразу.
Прошло часа 2-3.
1. Ссылка в браузере-Мозиле более не открывается (как указано в 1м сообщении темы)
2. Комп стал заметно пошустрее.
Похоже живность удалена.
Однако по прежнему выскакивает сообщение NOD-a
"15.03.2015 21:45:19 Обнаружена атака путем подделки записей кэша DNS 77.88.8.1:53 192.168.[xxx].[xxx]:57965 UDP C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE"
Возможно, это результат неправильной маршрутизации трафика (На компе настроены Яндекс DNS).
Если так, то вопрос, конечно, не к вам.
___
Скажите также пожалуйста, что это была за живность
Где именно эта живность живет, где мог поймать (флешки, браузер, файлы из почты...)
Странно. Но кто-то же открывал ссылку в Мазиле.
________
К слову сказать, вот это не исчезло.
Код:
C:\Windows\Temp\TmpFile1
8мб
НОД не проверяет, пишет "ошибка открытия"
На Вирустотал не хочет идти, говорит "процесс занят"
В сети встречаются обсуждения, но конкретного ответа не нашел. Чаще обсуждают "TmpFile1.exe"
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: