Malwarebytes & Dr.Web CureIt ничего не находят. Помогите :(
[ATTACH=CONFIG]676096[/ATTACH]
[ATTACH=CONFIG]676089[/ATTACH]
А еще пытается открыть - bodelen . com / 2lwlh385os . com / f.top4top . net / pushwhy . com / pushname . com
Printable View
Malwarebytes & Dr.Web CureIt ничего не находят. Помогите :(
[ATTACH=CONFIG]676096[/ATTACH]
[ATTACH=CONFIG]676089[/ATTACH]
А еще пытается открыть - bodelen . com / 2lwlh385os . com / f.top4top . net / pushwhy . com / pushname . com
Уважаемый(ая) [B]Hayzoom[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Не после установки Tencent Gaming Buddy началось?
Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].
Да нет, после установки много времени прошло, а началось это только вчера-позавчера.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Malwarebytes что-то нашел
Удалите только в Malwarebytes, проверьте.
Не исчезла проблема, всё так-же
Пока могу сказать следующее - Malwarebytes крайне щепетилен к сетевому трафику, и часто бьёт тревогу даже при обращениях к безобидным доменам
work.a-poster.info содержит в т. ч. списки прокси, к которым обращаются некоторые SEOшные программы, ничего такого нет?
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Да нет, SEO-шных программ точно нету, Wиндоус недавно ставился и в принципе чист от лишнего софта(я так думаю)
Я ничего не вижу подозрительного. Если кроме предупреждений Malwarebytes никак не проявляется - я бы не беспокоился.
А может из-за так называемой слежки Windows 10?
Почти каждую минуту всплывает окошко о блокировке.
Windows сливает на сайты Microsoft.
Отключите на время защиту, проверьте, будут другие проявления: реклама, всплывающие окна?
Спустя 5 минут после отключения защиты :?
Значит, будем копать глубже.
Удалите всё найденное в Malwarebytes.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Что-то очень странное дело это ;)
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Еще раз отключил защиту, проследил за сетевой активностью и из подозрительного нашел Amazon Web Services который работает как раз через svchost
[ATTACH=CONFIG]676146[/ATTACH]
Похоже, началось с этого:[QUOTE]Date: 2019-01-23 16:16:42.565
Description:
Антивирусная программа "Защитник Windows" обнаружил вредоносные или иные потенциально нежелательные программы.
Дополнительные сведения см. в:
[url]https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Occamy.C&threatid=2147726780&enterprise=0[/url]
Имя: Trojan:Win32/Occamy.C
ИД: 2147726780
Важность: Критический
Категория: Троян
Путь: file:_E:\Downloads\Spintires.MudRunner.The.Ridge-CODEX\setup.exe; process:_pid:7244,ProcessStart:131927154431325085
Происхождение обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Система
Пользователь: NT AUTHORITY\СИСТЕМА
Имя процесса: E:\Downloads\Spintires.MudRunner.The.Ridge-CODEX\setup.exe
Версия сигнатуры: AV: 1.273.933.0, AS: 1.273.933.0, NIS: 1.273.933.0
Версия модуля: AM: 1.1.15600.4, NIS: 1.1.15600.4[/QUOTE]Этот файл удалён уже?
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Если не влезет во вложения, загрузите в доступное облачное хранилище или на файлообменник и дайте ссылку.
Да Malwarebytes сразу его удалил, да и качался этот файл уже после появления проблемы.
[url]https://yadi.sk/d/8CyJx2eTHkA88Q[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Еще заметил что порт исходящего подключения на work.a-poster . info постоянно меняется.
[QUOTE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [6688], tid=2752[/QUOTE]
Руткит работает, ни TDSSKiller, ни Dr. Web CureIt!, ни Malwarebytes его не видят.
Есть загрузочный LiveCD/LiveUSB c Windows?
Да, есть флешка с которой устанавливалась система.
Нужна не установочная, а именно чтобы сразу с неё система грузилась.
Тогда попробуйте с [URL="https://support.kaspersky.ru/14226"]Kaspersky Rescue Disk 18[/URL] пролечиться.
Поставил Kaspersky Rescue Disk 18, загрузился с него, просканировал и ничего не нашел.