Junior Member
Вес репутации
50
В деспечере задач много неизвестных процессов
Здравствуйте.
Некоторое время назад заметил у себя в диспетчере задач процессы iexplore.exe(хотя браузером этим не пользуюсь, работаю в опере), их было много( болие 10 штук) полазив по интернету и погуглив понял что это вирус... начал лечить методами которые мне известно но как мне кажется так полностью и не вылечил... прошу вас посмотореть мои логи, и если можно помочь.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\smphost.exe');
QuarantineFile('c:\windows\system32\smphost.exe','');
DeleteFile('c:\windows\system32\smphost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','smphost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
Junior Member
Вес репутации
50
сделал всё по инструкции.
Что с проблемой, до сих пор беспокоит?
Junior Member
Вес репутации
50
на данный момент в диспечере задач iexplorer.exe не появляется но остались другие не понятные задачи и также бесокоит показания интернет соединений... т.е я в cmd в вёл ipconfig в котором по мимо моего интернет соединения(1) и локального соидинения(2) содержатся непонятные соединения к тунельным адаптерам, рание которых небыло...
скрин по показанию ipconfig прикрепил к сообщению
Junior Member
Вес репутации
50
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fieryads (Adware.FieryAds) -> No action taken.
Зараженные папки:
C:\Users\Toshik\AppData\Roaming\FieryAds (Adware.FieryAds) -> No action taken.
Зараженные файлы:
C:\Users\Toshik\AppData\Roaming\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
E:\System Volume Information\_restore{8FE0A8D9-4E7E-427F-A969-30F378B15C32}\RP17\A0020001.exe (Trojan.Agent) -> No action taken.
E:\System Volume Information\_restore{8FE0A8D9-4E7E-427F-A969-30F378B15C32}\RP17\A0020010.exe (Trojan.Downloader) -> No action taken.
E:\System Volume Information\_restore{8FE0A8D9-4E7E-427F-A969-30F378B15C32}\RP17\A0020017.exe (Trojan.Downloader) -> No action taken.
E:\System Volume Information\_restore{8FE0A8D9-4E7E-427F-A969-30F378B15C32}\RP17\A0021486.exe (Trojan.Agent) -> No action taken.
E:\System Volume Information\_restore{8FE0A8D9-4E7E-427F-A969-30F378B15C32}\RP17\A0021489.exe (RiskWare.Tool.CK) -> No action taken.
H:\с торента\visio2007pro\msa2007kg.exe (Hacktool.Agent) -> No action taken.
X:\Users\Toshik\AppData\Roaming\FieryAds\FieryAdsUninstall.exe (Adware.FieryAds) -> No action taken.
X:\Users\Toshik\AppData\Roaming\Toolbars\eBay\tbhelper.dll (Trojan.BHO) -> No action taken.
C:\Users\Toshik\AppData\Roaming\fieryads.dat (Adware.FieryAds) -> No action taken.
C:\Users\Общий\AppData\Roaming\FieryAds.dat (Adware.FieryAds) -> No action taken.
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('X:\Users\Toshik\AppData\Roaming\Toolbars\eBay\tbhelper.dll','');
QuarantineFile('E:\Учеба\курсяк_Окса\Kompas v9\CRACK\hl_mull.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');
end.
Пришлите файл quarantine2.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Junior Member
Вес репутации
50
выпонил всё выше перечисленное, фаил выслал..
Junior Member
Вес репутации
50
но меня всёже беспокоит тот факт, что при обычно сканировании компютора АВЗ пишет мне следующие ( прикрепил фаил к сообщению)
Junior Member
Вес репутации
50
Сообщение от
Olejah
Повторите лог МВАМ
сейчас сделаю
Сообщение от
supplier
АВЗ пишет мне следующие
Это нормально.
Junior Member
Вес репутации
50
вот что показало повтороное сканирование
Вложения
Злого не вижу, что с проблемой?
Junior Member
Вес репутации
50
Ну вроде на данный момент копьютер работает без тормозов и если логи в АВЗ нормальны, то вырожаю вам благодарность... надеюсь больше не придётся к вам за помощую обращаться
Сообщение от
supplier
адеюсь больше не придётся к вам за помощую обращаться
Не понравилось что ли? А я старался.
Junior Member
Вес репутации
50
Сообщение от
Olejah
Не понравилось что ли? А я старался.
Помощь очень сильно помогла, но неприятностей таких больше не хочется... а вообщем конечно Большое спасибо за помощ
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\smphost.exe - Trojan-Spy.Win32.Lpxenur.b ( DrWEB: Trojan.Siggen2.1082, BitDefender: Trojan.Generic.5125645, AVAST4: Win32:BHO-ADC [Trj] )
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !