Подозрение на вирусы

[ССД]

Отправляю Вам отчёт программы uvs

[SQ]

Выполните скрипт в uVS:

Код:

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
BREG
delref %SystemDrive%\USERS\MAKSS_000\APPDATA\LOCAL\SWEETLABS APP PLATFORM\ENGINE\SERVICEHOSTAPP.EXE
delref HTTP://WWW.AMAZON.CO.UK/S/REF=AZS_OSD_IEAUK?IE=UTF-8&TAG=HP-UK3-VSB-21&LINK%5FCODE=QS&INDEX=APS&FIELD-KEYWORDS={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE
delref %SystemDrive%\USERS\ADMINI~1\APPDATA\LOCAL\TEMP\PFT131D.TMP\AMIFLDRV64.SYS
delref %SystemDrive%\USERS\BD1F~1\APPDATA\LOCAL\TEMP\CPUZ136\CPUZ136_X64.SYS
delref %SystemDrive%\USERS\MAKSS_000\APPDATA\LOCAL\POKKI\ENGINE\LAUNCHER.DLL
delref %SystemDrive%\USERS\MAKSS_~1\APPDATA\LOCAL\TEMP\ESIHDRV.SYS
restart

[ССД]

Выполнил нижеуказанный скрипт, на всякий случай, дважды, действуя по имеющейся инструкции:
OFFSGNSAVE
BREG
delref %SystemDrive%\USERS\MAKSS_000\APPDATA\LOCAL\SWEETL ABS APP PLATFORM\ENGINE\SERVICEHOSTAPP.EXE
delref HTTP://WWW.AMAZON.CO.UK/S/REF=AZS_OSD_IEAUK?IE=UTF-8&TAG=HP-UK3-VSB-21&LINK%5FCODE=QS&INDEX=APS&FIELD-KEYWORDS={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE
delref %SystemDrive%\USERS\ADMINI~1\APPDATA\LOCAL\TEMP\PF T131D.TMP\AMIFLDRV64.SYS
delref %SystemDrive%\USERS\BD1F~1\APPDATA\LOCAL\TEMP\CPUZ 136\CPUZ136_X64.SYS
delref %SystemDrive%\USERS\MAKSS_000\APPDATA\LOCAL\POKKI\ ENGINE\LAUNCHER.DLL
delref %SystemDrive%\USERS\MAKSS_~1\APPDATA\LOCAL\TEMP\ES IHDRV.SYS
restart
К сожалению зип-архива на этот раз так и не сформировалось. Посылаю архивированные оба варианта полученных тхт файлов, т.к. в неархивированном виде они отличаются друг от друга на 1 кб.

[SQ]

Сообщите, что с проблемой?

[ССД]

Если Вы про создание скрипта, то в разделе сделайте полный образ автозапуска uVS., в подразделе касающемся скриптов указано, что в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы. Именно так вышло у меня.
Если Вы про вирус, то программа Security Task Manage (пробная версия) продолжает выделять красным цветом несколько сотен файлов. В последнее время операционная система вообще загружается по 3-4 минуты, вместо 40-60 секунд ранее. Когда смотришь фильм или оставляешь компьютер на скачивание какого-либо контента, то есть когда длительное время компьютер не занят какой-либо иной кроме указанной деятельностью внезапно начинает грузиться диск на 100%, а также процессор и отчасти память. Это сразу слышно по усиленной работе вентилятора в ноутбуке. Как только начинаешь нажимать любые кнопки, включать диспетчер задач через несколько минут эти «приступы» проходят, но компьютер потом работает медленнее и некоторые программы зависают. Также забыл указать, что у меня без каких-либо манипуляций с моей стороны пропал спящий режим на компьютере. Осталось только вкл. (выкл.) и перезагрузка.

[SQ]

в подразделе касающемся скриптов указано, что в некоторых случаях карантина может не быть - папка ZOO_ не появилась или там только текстовые файлы. Именно так вышло у меня.

В указанном крипте не указано было использование команды zoo (взять в карантин) по этому у Вас и не появился архив с карантином.

Покажите скрин, возможно проблема не в заражение.

[ССД]

Добрый день! Какой скрин?!

[SQ]

Добрый день! Какой скрин?!

Вы ранее писали:

то программа Security Task Manage (пробная версия) продолжает выделять красным цветом несколько сотен файлов

Хотелось бы увидеть скрин, что выделяет Security Task Manage.

[ССД]

Отправляю скрины, того что выделяет Security Task Manage.

[SQ]

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[ССД]

Добрый день! Отправляю Вам log.txt TDSSKiller с проведённой проверкой.

[SQ]

в логах, ничего плохого незамечено.

[ССД]

Я видел что ни чего плохого это программа не нашла и готов был бы согласиться, что файлы, выделяемые программой Security Task Manager это рекламный трюк, чтобы заставить купить платный вариант данной программы, а продолжающаяся временами перегрузка и зависание системы это последствие удалённого программой adwcleaner_7.0.1.0 вируса. Однако, тот факт, что именно adwcleaner_7.0.1.0 при проводимой через три дня на всякий случай проверке зависла и перестала функционировать, обнаружив какой-то не опознанный объект. Равно как и её более новый вариант adwcleaner_7.0.2.0 в то время как остальные программы в т.ч. и антивирусные благополучно продолжают работать наводит меня на мысль, что у меня в системе какой-то вирус, созданный группой профессиональных программистов, который не виден большинством антивирусных программ и который очень сложно вычислить, возможно обновляемый. Приведу для иллюстрации пример, несколько дней, на этой неделе, я не видел в е-мэйле писем, а только белый экран. Прочитав , что пишут в интернете я смог найти вариант где писали о соответствующей настройки Adblock Plus. Я таких изменений в данную программу не вносил, что подтвердил и осмотр, но т.к. у меня стоит ещё и Adguard я отключил его и письма снова стали видны. При этом в настройки данной программы я изменений то же не вносил. Включив её за тем, я тем не менее продолжил видеть письма в своём электронном ящике, возможно это проделки вируса? Поэтому если я смогу как-то помочь Вам вычислить данный вирус, я охотно сделаю все, что в моих силах.

[SQ]

Ну мы ориентируемся на логи, в логах ничего плохого не заметил.


Сделайте лог полного сканирования МВАМ

[ССД]

Сделал лог полного сканирования МВАМ. Только у меня сейчас стоит бесплатная версия, т.к. срок 14-дневной платной уже прошёл.

[SQ]

Логах чисто.

[ССД]

Посмотрел сам какие программы находят руткитов в интернете. Отправляю Вам лог, программы Spybot-S&D Start Center, где не всё чисто. Хотелось бы узнать Ваше мнение как профессионала на счёт найденного.

[SQ]

Больше похоже на мусор(ссылки на несущестующие объекты), чем на вредоносное ПО указанное в логах.

[ССД]

Я обновил базу avz, скаченной с Вашего сайта и провёл проверку установив максимальный уровень эвристики и указав блокировать работу руткитов и на сей раз было появилось: Код руткита в функции KiUserExceptionDispatcher нейтрализован; Код руткита в функции NtFreeVirtualMemory нейтрализован. Хотя вирусы и руткиты не были найдены, но хотел бы обратить внимание, что ранее указанных кодов в системе не было найдено. Если это только не от программы HitmanPro, что я точно узнаю через 20 дней, как истёчёт период бесплатного пользования, то я не знаю что бы ещё могло дать такой результат т.к. программу Spybot Search & Destroy я пока удалил из-за того что она не уживалась с HitmanPro не давая ему сканировать систему, а каких-то новых антивирусников я не ставил. Кроме того, в момент проверки avz в вордовском файле сама собой напечаталась не понятная фраза:
уыееуыекеуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
Лог проверки прилагаю.

[SQ]

Кроме того, в момент проверки avz в вордовском файле сама собой напечаталась не понятная фраза:
уыееуыекеуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые еуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееу ыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуыееуые
Лог проверки прилагаю.

Это известное поведение, bydesign AVZ.