Показано с 1 по 11 из 11.

Подозрение на заражение (заявка № 228145)

  1. #1
    Junior Member Репутация
    Регистрация
    25.04.2023
    Сообщений
    7
    Вес репутации
    10

    Thumbs up Подозрение на заражение

    1) Не открывал этот сайт и не знаю это приложение
    https://postimg.cc/r02StybY

    Полную проверку сделать пока не было время

    2) Словил 2 BSOD
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,290
    Вес репутации
    384
    Уважаемый(ая) PCUser, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Похоже, Dr. Web справился.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O4 - MSConfig\startupreg: tvncontrol [command] = D:\TightVNC\tvnserver.exe -controlservice -slave (HKLM) (2019/09/12) (file missing)
    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    25.04.2023
    Сообщений
    7
    Вес репутации
    10
    Только что DrWeb обезвредил

    "Объект";"Угроза";"Действие";"Путь";
    "adl.exe";"DPH:Trojan.ExecExploit";"Перемещено";"C :\Windows\adl.exe";

    Чуть раньше (10:42) это же файл был помещен Drweb в карантин
    Логи:

    Пока писал сообщение заблокирована попытка выполнения подозрительного кода
    процессом c:\Windows\System32\cmd.exe
    PID 4572 и 4444
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-18\...\Run: [] => [X]
    S4 AviraProtect3; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S4 AviraProtect3; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 AmmyyAdmin_EC0; "D:\AA_v35\AA_v3.exe" -service -lunch [X]
    S3 46e2183c695fc091; \??\C:\Windows\TEMP\2ce24f2.sys [X]
    S3 46e28b6e6ebde6f2; \??\C:\Windows\TEMP\26ef2cc.sys [X]
    S3 46e29ea2afb3fc72; \??\C:\Windows\TEMP\28cedf5.sys [X]
    S3 46e2b7f563ff7cf2; \??\C:\Windows\TEMP\26e84ab.sys [X]
    S3 f3179ac904558e2c; \??\C:\Windows\TEMP\216a65a.sys [X]
    023-04-25 20:46 - 2017-05-06 16:42 - 851661349 _____ C:\Windows\MEMORY.DMP
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{86508D42-E5D7-4D10-9C6F-D427AEEB85B5}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.34.11\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.101\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.82\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{CA919489-0396-4164-A6E7-94CDED45A707}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.51\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll (Google LLC -> Google LLC)
    CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => Нет файла
    ContextMenuHandlers4: [chext] -> {E7A4C2DA-F3AF-4145-AC19-E3B215306A54} => C:\Users\Dmitriy\Downloads\ch-portable-1.46\64bit\chext64.dll -> Нет файла
    ContextMenuHandlers5: [chext] -> {E7A4C2DA-F3AF-4145-AC19-E3B215306A54} => C:\Users\Dmitriy\Downloads\ch-portable-1.46\64bit\chext64.dll -> Нет файла
    AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:DocumentSummaryInformation [63]
    AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:SummaryInformation [63]
    AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q C:\Windows\Temp\*.*
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    del /s /q C:\Windows\Minidump\*.dmp
    ipconfig /flushdns
    sfc /scannow
    endbatch:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    25.04.2023
    Сообщений
    7
    Вес репутации
    10
    Еще один Crash

    Скрытый текст


    Version=1
    EventType=BlueScreen
    EventTime=133269746518428182
    ReportType=4
    Consent=1
    ReportIdentifier=1900a212-e414-11ed-8102-ef41e634fdb5
    IntegratorReportIdentifier=042623-6739-01
    Response.type=4
    DynamicSig[1].Name=Версия ОС
    DynamicSig[1].Value=6.1.7601.2.1.0.256.48
    DynamicSig[2].Name=Код языка
    DynamicSig[2].Value=1049
    UI[2]=C:\Windows\system32\wer.dll
    UI[3]=Windows восстановлена после непредвиденного завершения работы
    UI[4]=При следующем подключении к Интернету Windows может провести поиск способа устранения этой ошибки.
    UI[5]=Выполнить &поиск решений
    UI[6]=Отло&жить поиск решений
    UI[7]=Отмена
    UI[8]=Windows восстановлена после непредвиденного завершения работы
    UI[9]=Из-за неполадки Windows работает неправильно. Windows сообщит вам, если будет найден способ устранения этой ошибки.
    UI[10]=Закрыть
    Sec[0].Key=BCCode
    Sec[0].Value=50
    Sec[1].Key=BCP1
    Sec[1].Value=FFFFFA800C633000
    Sec[2].Key=BCP2
    Sec[2].Value=0000000000000001
    Sec[3].Key=BCP3
    Sec[3].Value=FFFFF8800869B585
    Sec[4].Key=BCP4
    Sec[4].Value=0000000000000000
    Sec[5].Key=OS Version
    Sec[5].Value=6_1_7601
    Sec[6].Key=Service Pack
    Sec[6].Value=1_0
    Sec[7].Key=Product
    Sec[7].Value=256_1
    File[0].CabName=042623-6739-01.dmp
    File[0].Path=042623-6739-01.dmp
    File[0].Flags=589826
    File[0].Type=2
    File[0].Original.Path=C:\Windows\Minidump\042623-6739-01.dmp
    File[1].CabName=sysdata.xml
    File[1].Path=WER-8689-0.sysdata.xml
    File[1].Flags=589826
    File[1].Type=5
    File[1].Original.Path=C:\Users\Dmitriy\AppData\Local\Temp\WER-8689-0.sysdata.xml
    File[2].CabName=Report.cab
    File[2].Path=Report.cab
    File[2].Flags=196608
    File[2].Type=7
    File[2].Original.Path=Report.cab
    FriendlyEventName=Непредвиденное завершение работы
    ConsentKey=BlueScreen
    AppName=Windows
    AppPath=C:\Windows\System32\WerFault.exe
    Скрыть

    Drweb

    Сейчас получил
    "Объект";"Угроза";"Действие";"Путь";
    "mssecsvc.exe";"Trojan.Encoder.11432";"Перемещено" ;"C:\Windows\mssecsvc.exe";

    Fixlog.txt больше чем 483Кб: https://disk.yandex.ru/d/oJhvpVFNqyV9XQ
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Систему долбят через уязвимости, которые закрыты MS ещё 6 лет назад, когда были массовые атаки шифровальщика WannaCry:
    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB3177467 Внимание! Скачать обновления
    HotFix KB3125574 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4499175 Внимание! Скачать обновления
    HotFix KB4474419 Внимание! Скачать обновления
    HotFix KB4565354 Внимание! Скачать обновления
    HotFix KB4490628 Внимание! Скачать обновления
    HotFix KB4539602 Внимание! Скачать обновления
    Устанавливайте в первую очередь KB4012212 по ссылке, закроет именно эту дыру. Затем ]систему крайне желательно обновить по полной, через автоматическое обновление, или проще и быстрее - с помощью Windows 7 Update Pack by DrWindows. Если система, как в вашем случае, не обновлялась давно, могут быть проблемы при и после установки патчей, так что, хотя бы из списка установите, самые критичные.
    Проверьте сеть утилитой ETERNAL BLUES, все найденные компьютеры с уязвимостью также надо обновлять.

    Кстати, у вас зачем-то открыты и проброшены в локальную сеть на маршрутизаторе порты 445/tcp, 135/tcp - через них и атакуют снаружи. Закройте доступ, ещё и по портам 49158, 49153, 49155, 49154, 49152 tcp - это Microsoft Windows RPC, тоже могут быть использованы в атаках.

    Ну, и по мелочам (относительно главной проблемы):
    Брандмауэр Windows (MpsSvc) - Служба остановлена
    Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
    Java SE Development Kit 8 Update 121 (64-bit) v.8.0.1210.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-20_windows-x64_bin.exe).
    Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
    Adobe Flash Player 32 PPAPI v.32.0.0.433 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
    Adobe Reader 8.1.2 v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
    Google Chrome v.96.0.4664.110 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О браузере Google Chrome!^
    Mozilla Firefox 56.0 (x64 ru) v.56.0 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Firefox!^
    WBR,
    Vadim

  9. Это понравилось:


  10. #8
    Junior Member Репутация
    Регистрация
    25.04.2023
    Сообщений
    7
    Вес репутации
    10
    Пока KB4012212 установил. Ждем развития
    Других ПК в сети нет

    Кстати, у вас зачем-то открыты и проброшены в локальную сеть на маршрутизаторе порты 445/tcp, 135/tcp - через них и атакуют снаружи. Закройте доступ, ещё и по портам 49158, 49153, 49155, 49154, 49152 tcp - это Microsoft Windows RPC, тоже могут быть использованы в атаках.
    Как закрыть? Не помню чтобы сам менял стандартные настройки роутера
    На роутере раздавал интернет на ПК, wi-Fi и android приставку

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    Цитата Сообщение от PCUser Посмотреть сообщение
    Как закрыть? Не помню чтобы сам менял стандартные настройки роутера
    На роутере раздавал интернет на ПК, wi-Fi и android приставку
    Проверяйте все настройки, или сбросьте их и настройте с нуля. И прошивку обновите по возможности.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    25.04.2023
    Сообщений
    7
    Вес репутации
    10
    Пока новых крашей и вирусов не было. Тему можно закрывать.
    Спасибо!

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,579
    Вес репутации
    1086
    В завершение: переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

  • Уважаемый(ая) PCUser, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на заражение
      От Lara в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:50
    2. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:49
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 02:43
    4. Подозрение на заражение iexplore.exe
      От Highlighter в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 02:08
    5. Подозрение на заражение системных процессов
      От sasha1980may в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 01:51

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00002 seconds with 19 queries