-
Вложений: 1
Не пойму как вылечить
В автозагрузке всегда появляются странные записи, например ntkrnlpa.lnk. При удалении всё сразу возвращается.
Также начал замечать, что svchost.exe отсылает черезчур много пакетов. Сеть потом работает на 25% - пакеты просто теряются и сайты открываются долго. Удалил process explorer этот svchost и интернет восстановился. В свойствах он находится в system32. Других похожих с названием файлов нет - напоминает руткит.
Вопрос - как всё это удалить. И закрыть бреши. Помогите, please :)
p.s. комп не мой, поэтому проверить сразу не смогу.
-
Уважаемый(ая) [B]brt1[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
-
Вложений: 1
я его случайно запихнул в архив.
дублирую...
-
Сделайте логи AVZ версией AVZ 4.43. Не забудьте обновить базы AVZ! Паковать отчет HiJackThis в отчет AVZ НЕ НУЖНО!!!
-
Вложений: 2
-
Попробуем пока что через MBAM все это удалить.
Откройте AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Исправьте:
[CODE]
>> Обнаружен набор команд, запускаемых при старте cmd.exe
[/CODE]
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
-
Вложений: 1
Исправил через AVZ по предложенному варианту. Дополнительно закрыл 4 службы (думаю еще парочку позакрывать)
По первым впечатлениях всё работает хорошо.
По поводу MBAM
Очень смущают ветки реестра и непонятно, что за Malware.Trace
Чем лечить и как. MBAM-ом?
Спасибо
-
[CODE]
C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe
C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\logman.exe
[/CODE]
Пришлите согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
В MBAM удалите:
[CODE]
Обнаруженные параметры в реестре: 1
HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://sandeta.com/themes/sde.exg -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\User\Application Data\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.
C:\Documents and Settings\User\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
[/CODE]
-
Вложений: 1
Удалил.
Запрашиваемых фалов нет (смотрите в прикрепленном файле).
Отправить с папки windows/system32/dllcache?
-
Файлы в автозагрузке похоже системные.
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - HKCU\..\Run: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe"
O4 - HKCU\..\RunOnce: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe"
O4 - HKUS\S-1-5-18\..\Run: [java] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [mmc] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\mmc.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WISPTIS] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\WISPTIS.EXE" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nvusmb] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\nvusmb.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [napstat] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\napstat.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [upnpcont] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\upnpcont.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ntkrnlpa] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [java] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [makecab] "C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe" (User 'Default user')
O4 - .DEFAULT User Startup: java.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\java.exe (User 'Default user')
O4 - .DEFAULT User Startup: logman.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\logman.exe (User 'Default user')
O4 - .DEFAULT User Startup: makecab.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\makecab.exe (User 'Default user')
O4 - .DEFAULT User Startup: mmc.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\mmc.exe (User 'Default user')
O4 - .DEFAULT User Startup: napstat.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\napstat.exe (User 'Default user')
O4 - .DEFAULT User Startup: ntkrnlpa.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\ntkrnlpa.exe (User 'Default user')
O4 - .DEFAULT User Startup: nvusmb.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\nvusmb.exe (User 'Default user')
O4 - .DEFAULT User Startup: rexec.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\rexec.exe (User 'Default user')
O4 - .DEFAULT User Startup: upnpcont.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\upnpcont.exe (User 'Default user')
O4 - .DEFAULT User Startup: wdfmgr.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\wdfmgr.exe (User 'Default user')
O4 - .DEFAULT User Startup: WISPTIS.lnk = C:\Documents and Settings\User\Application Data\Microsoft\Windows\dllcache\WISPTIS.EXE (User 'Default user')
O4 - Startup: ntkrnlpa.lnk = ?
[/CODE]
Сделайте логи RSIT.
+ Проведите [URL="http://virusinfo.info/content.php?r=290-virus-detector"][B]эту[/B][/URL] процедуру. Полученную ссылку после загрузки карантина [B]virusinfo_auto_имя_вашего_ПК.zip[/B] через [url=http://virusinfo.info/virusdetector/uploadform.php][B]данную форму[/B][/url] сохраните в блокноте под именем VirusDetector и прикрепите его в виде текстового файла в вашей теме.
-
Вложений: 3
Не все удалилось. Хоть админ права и есть, но при очередном scan они снова на месте. Эти строки видны в логах RSIT.
Смущает в log.txt 150-153 строчки.
-
В папке [B]c:\users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup[/B] удалите ярлыки:
[CODE]
java.lnk
logman.lnk
makecab.lnk
mmc.lnk
napstat.lnk
ntkrnlpa.lnk
nvusmb.lnk
rexec.lnk
upnpcont.lnk
wdfmgr.lnk
WISPTIS.lnk
[/CODE]
Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните на рабочий стол.
1. [color=red]Внимание![/color] Обязательно закройте все браузеры, [URL="http://safezone.cc/threads/18577"]временно выключите антивирус, firewall и другое защитное программное обеспечение[/URL]. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите [b]combofix.exe[/b], когда процесс завершится, скопируйте текст из [b]C:\ComboFix.txt[/b] и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
Page generated in 0.00404 seconds with 10 queries