Процессы WerFault.exe множатся и едят все ресурсы, вирус BAT.DownLoader.58 [Trojan.Win32.Vehidis.apd
]
После загрузки ОС (Win2k8r2) начинало генерироваться много процессов WerFault.exe, которые пожирали все ресурсы - 100% загрузки CPU, памяти, диск заполнялся ... Перезагрузился в safe-режиме и проверился CureIT. Dr.Web CureIt! нашел кучу файлов с вирусом 56 или 58 штук) BAT.DownLoader.58 и WerFault.exe (и другие) и вылечил их. После перезагрузки в нормальном режиме вроде бы все нормально. Посмотрите остались ли какие-то намеки на вирусы и т.д.
Последний раз редактировалось shaman480; 05.10.2015 в 23:57.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) shaman480, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скрипт выполнил и перезагрузился.
Тесты провел, файлы прилагаю.
А так же в автозагрузке были какие то непонятные программы, я их отключил. Файлик с программами автозагрузки так же прилагаю.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Файлы удалил.
Но в корне диска С появились неизвестные файлы.
Заархивировал и отправил через "Прислать запрошенный карантин"
- - - - -Добавлено - - - - -
Выполнил логи по новой!
И что делать с файлами в автозагрузке которые я отключил?
- - - - -Добавлено - - - - -
В диспетчере задач появились неопознанные процессы после перезагрузки
Ссылки ведут в автозагрузку - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup
А само меню автозагрузки из Пуска ведет вот сюда - C:\Users\Администратор\AppData\Roaming\Microsoft\W indows\Start Menu\Programs
Такое чувство что его подменили, так как появился еще один пункт в Пуске с наименованием - "Startupя" - и ссылка ведет вот сюда - C:\ProgramData\Microsoft\Windows\Start Menu\Programs 123.jpg
- - - - -Добавлено - - - - -
Ошибся, не опознанных только 3, iusb3mon.exe - это драйвера интеловские на юсб 3.0
- - - - -Добавлено - - - - -
Эти процессы завершаешь, через некоторое время они опять появляются!
Данные файлы я еще вчера их удалил. Папку переименованную вирусом "Startupя" - переименовал в "Startup", вернулось правильное меню в пуск с наименованием автозагрузка.
Выполнил скрипт, но не могу загрузить файл карантина, выдает ошибку
Результат загрузки
Ошибка загрузки. Данный файл уже был загружен
Прикрепляю логи.
- - - - -Добавлено - - - - -
Забыл уточнить, что после удаления этих файлов, вроде подозрительных файлов в процессах больше не появляется.
Последний раз редактировалось shaman480; 09.10.2015 в 12:23.
Это говорит только об одном - зараза лезет через уязвимости софта. Скорее всего через уязвимости Microsoft SQL Server 2008
Без обновления бороться с этим бесполезно
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Обновления все поставил.
А так же полностью зарубал все доступы к MSSQL через kerio, теперь могут лезть только локальные компьютеры или VPN клиенты.
Из вне доступы закрыл.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: