-
Junior Member
- Вес репутации
- 54
Подозрение на вирус/троян/червь
Здравствуйте. Помогите пожалуйста разобраться. Где-то неделю назад компьютер подвергся вирусной атаке. Пролечил MBAM-ом, тот нашел 3 червя и где-то 30 троянов, еще несколько спай-программ. Потом прошелся Сureit, тот нашел троян, но не удалил, а переместил в карантин. После этого стало получше, но есть подозрения, что вылечил не всё. Потому что:
1. Машина при работе с инетом выдает 2 приложения iexplore.exe.
2. В task manager виден еще 1 svhost.exe, причем с пометкой Network service. Теперь таких svhost.exe в сумме 2, а раньше был 1.
3. В task manager постоянно висит cftmon.exe. Я понимаю, что это системный файл, НО раньше его там вроде не было. Вообще в task manager очень много приложений (на 4-5 больше чем раньше при загрузке, но все файлы вроде по названиям системные).
4. При загрузке самораспаковывающегося exe-файла система подвисла на 90% в течении 2 минут, а в task manager появился не только exe-файл с данным именем, но еще и tmp-файл с таким же именем. Причем этот tmp-файл в природе не существует (я его не нашел). После самораспаковки его на компе нет. И из мэнэджера он тоже исчез.
5. Вообще машина немного подвисает, постоянно что-то грузит и занята на 3-4%. Раньше такого не было. При выходе из IE чуть получше, но все равно. Может это уже и аппаратное, компьютеру 4 года. Хотя вряд ли.
6. Еще подскажите как очистить Temporary Internet Files т.к. количество их растет, но ни Spybot ни IE очистить их не могут. До заражения их было 96 (неудалямых), теперь 147 (неудаляемых). Spybot постоянно при этом ругается на кукис yadro.ru называя его Winporn-pop-up. Кукис удаляю, перезагружаюсь, вхожу в инет, проверяюсь и опять он там и опять Spybot ругается.
Последний раз редактировалось thyrex; 05.04.2012 в 23:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте. Вы сделали лог старой версией программы - AVZ 4.34 . Скачайте последнюю версию avz, обновите базы, логи переделайте.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
миднайт
Здравствуйте. Вы сделали лог старой версией программы - AVZ 4.34 . Скачайте последнюю версию avz, обновите базы, логи переделайте.
Сделал анализ новым AVZ и пребываю в шоке. АVZ написал, что цитирую:
"Обратите внимание: порт 3129 UDP CoolProxy2, BackDoor.MasterParadise (c:\windows\system32\svhost.exe - опознан как безопасный процесс). Логи сейчас сделаю в отдельном письме.
-
Junior Member
- Вес репутации
- 54
При повторной проверке AVZ больше не обнаружил процесса Backdoor (что очень странно). Так что логи могут его и не содержать.... Зато он обнаружил три трояна.
Последний раз редактировалось thyrex; 05.04.2012 в 23:46.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\192.exe','');
QuarantineFile('C:\WINDOWS\pss\m70tpkk6.exeStartup','');
QuarantineFile('C:\WINDOWS\pss\hi70jfaa6m.exeStartup','');
QuarantineFile('C:\WINDOWS\pss\0rnii6u.exeStartup','');
DeleteFile('C:\WINDOWS\pss\0rnii6u.exeStartup');
DeleteFile('C:\WINDOWS\pss\hi70jfaa6m.exeStartup');
DeleteFile('C:\WINDOWS\pss\m70tpkk6.exeStartup');
DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\192.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Скрипт выполнен. Карантин я к сожалению забыл прислать, а когда сделал лог МBAM нажал на удалить. Поэтому логи высылаю, включая МBAM, а карантин, извините, удален.
Последний раз редактировалось thyrex; 05.04.2012 в 23:47.
-
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
Уже удалил, я же говорю. Но меня вот что беспокоит - дополнительный svhost не исчез - см. выше.
"порт 3129 UDP CoolProxy2, BackDoor.MasterParadise (c:\windows\system32\svhost.exe - опознан как безопасный процесс)" И это сообщение не повторяется, сколько бы я не прогонял проверку.
-
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
миднайт
Так я же говорю, странно. Я как раз скачал новый АVZ, он после этого мне выдал эту строку (старый не видел ничего). А потом ее не выдавал при повторных прогонах. И главное, сейчас посчитал svhost'ы. Их же вроде 6 должно быть, а у меня 7 почему-то.
-
А где логи, сделанные новой версией утилиты?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
миднайт
А где логи, сделанные новой версией утилиты?
Вы о чем? Я же базу AVZ скачал и старую удалил? Я скачал файл avzbaze.zip и распаковал его внутрь старой AVZ.
-
- скачайте новую версию AVZ - 4.35
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
polword
Все, скачал. Полностью. Вот еще два файла, у меня по файлам скоро лимит кончится.
Последний раз редактировалось Alexkzt; 01.07.2011 в 11:59.
-
Плохого не видно
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
Плохого не видно
Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2
прекращена
Установите
SP3 (может потребоваться активация) + все
новые обновления для Windows
А если обойтись без переустановки? Можно как-то найти то, что портит систему? Вот Spybot недавно отыскал Win32.autorun.tmp. Может и Backdoor как-то можно отловить вручную? Или может мне попробовать запустить все через уровень Администратора в безопасном режиме и там проверить все AVZ вновь? Я просто боюсь это делать, т.к. говорят, что если это червь или Backdoor то он может инфицировать и этот уровень.
Меня терзают смутные сомнения, что проблемы вызывает хакерская/шпионская программа, которая ни червем, ни вирусом, и трояном не является, а является шпионом. Может Вы посоветуете какой-то антишпион, которым можно дополнительно проверить компьютер?
Если не хотите отвечать, не отвечайте, все равно спасибо. И так много нашли.
Добавлено через 46 минут
P.S. Проверил 10 самораспаковывающихся архивов c расширением exe. Везде рядом с ними грузится другой -exe или -tmp при их загрузке и везде пауза в 2 минуты (система зависает).
Последний раз редактировалось Alexkzt; 11.01.2011 в 23:18.
Причина: Добавлено
-
Сообщение от
Alexkzt
А если обойтись без переустановки?
А вам советовали обновление системы, а не ппереустановку
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 54
Сообщение от
thyrex
А вам советовали обновление системы, а не ппереустановку
А извините. Не сразу понял.
-
Junior Member
- Вес репутации
- 54
А извините. Не сразу понял. Но по определенным причинам, которые я называть не буду, переустановка или любые обновления отпадают целиком.
Я хотел задать последний вопрос. Я нашел 3 файла svchost.exe.
1 файл в windows\system\dllcache\
2 файл в windows\system\
3 файл в windows\SoftwareDistribution\Download\a50daa009f8a 7e7bb00fe145d2709bd7\
Что-то меня терзают смутные сомнения, что svchost не может находиться в 3-ей папке. Может это троян?
-
Сообщение от
Alexkzt
Что-то меня терзают смутные сомнения, что svchost не может находиться в 3-ей папке. Может это троян?
Эта папка, куда скачиваются плановые обновления для системы перед установкой. Так что может и там быть
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-