-
Junior Member
- Вес репутации
- 61
притормаживает комп и обращение к соцсетям
бывает замедление работы компа и при проверке AVZ в логах видно обращение к соцсетям, в которых я не зарегистрирован. Это стандартная проверка или что-то обнаружено в компе и оно так обращается?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) tol, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Anatol\AppData\Roaming\Browsers\exe.erolpxei.bat','');
DeleteFile('C:\Users\Anatol\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Сделайте лог CheckBrowsers' Lnk
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
карантин c:\quarantine.zip вверху темы то ли послал, или нет? было сообщение, что файл уже загружен
в скриптах АВЗ стандартнро обращается к соцсетям (вконтакте, фейсбук ...) или что-то есть в компе?
-
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 61
саму прогу ClearLNK и лог из их каталогов перенес на Стол через сохранить как и скопировать. Так надо? Прилагаю лог, что-то там вылечено было
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
-
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} => No File
ShellIconOverlayIdentifiers-x32: [KAVOverlayIcon] -> {014F27E2-6D75-4E42-A0E9-2A2C68498AFA} => No File
GroupPolicyScripts: Restriction <======= ATTENTION
HKU\S-1-5-21-2443142181-4032422986-3370787100-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
OPR Extension: (Quick Searcher) - C:\Users\Anatol\AppData\Roaming\Opera Software\Opera Stable\Extensions\chphlpgkkbolifaimnlloiipkdnihall [2015-09-11]
2015-09-25 16:24 - 2015-09-25 16:24 - 00000000 ____D C:\Users\Anatol\AppData\Local\Поиcк в Интeрнете
2015-09-11 18:49 - 2015-09-11 18:49 - 00000000 ____D C:\Users\Anatol\AppData\Roaming\Browsers
Task: {06A10FE7-947C-480A-BD1A-BEC5267C1D88} - \RealPlayerRealUpgradeLogonTaskS-1-5-21-2443142181-4032422986-3370787100-1000 -> No File <==== ATTENTION
Task: {14CE3329-D0BC-47A2-B63E-1B81017C5021} - \RealPlayerRealUpgradeScheduledTaskS-1-5-21-2443142181-4032422986-3370787100-1000 -> No File <==== ATTENTION
Task: {F156C62D-0175-40FB-A6DB-24E387FD6346} - \RealDownloaderDownloaderScheduledTaskS-1-5-21-2443142181-4032422986-3370787100-1000 -> No File <==== ATTENTION
Task: {F8E050DF-FEB7-40C5-8AEC-94D15775C11F} - \RealDownloaderRealUpgradeLogonTaskS-1-5-21-2443142181-4032422986-3370787100-1000 -> No File <==== ATTENTION
Task: {F8F35AA2-93CA-4969-BD9A-FA7C6877B18A} - \RealDownloaderRealUpgradeScheduledTaskS-1-5-21-2443142181-4032422986-3370787100-1000 -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows:netNLSPreferences
AlternateDataStreams: C:\Windows:nlsPreferences
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\03253711.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\35655469.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\37883064.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\45152972.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\03253711.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\35655469.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\37883064.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\45152972.sys => ""="Driver"
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
лог Фарбар
в Опере вроде странное дополнение, я ей никогда не пользуюсь
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
в логах видны обращения к соцсетям, прилагаю
найдены уязвимости, типа анонимный доступ, их надо исправить?
при выполнении скрипта 2, файл нормальный C:\Program Files (x86)\SDL\SDL Trados Studio\Studio2\ja\Sdl.FileTypeSupport.Native.Html. resources.dll куда-то видимо удален, в карантине AVZ его нет, с подозрением на Подозрение на Trojan-Dropper.Win32.Small.avu ( 00209E0B 00000000 000928A9 0028E1B9 24576)
можно его как-то восстановить? И как-то исключить от удаления в будущем?
Сканирование дисков
C:\Program Files (x86)\SDL\SDL Trados Studio\Studio2\ja\Sdl.FileTypeSupport.Native.Html. resources.dll >>> подозрение на Trojan-Dropper.Win32.Small.avu ( 00209E0B 00000000 000928A9 0028E1B9 24576)
Файл успешно помещен в карантин (C:\Program Files (x86)\SDL\SDL Trados Studio\Studio2\ja\Sdl.FileTypeSupport.Native.Html. resources
Последний раз редактировалось tol; 31.10.2015 в 22:00.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 61
сделал скрипт № 3, показывает, что пингуются соцсети (и показан их днс)? Это сама AVZ делает или что-т о есть в компе?
Прилагаю лог adwcleaner, он снес какое-то отслеживание Tracing
Еще вопрос: скрипт показывает уязвимости, делал проверку с их устранением, но они не устраняются
Чтобы копии подозрительных файлов оставались в карантине, надо перед каждым скриптом вручную ставить настройку?
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
-
Junior Member
- Вес репутации
- 61
скрипт № 3, показывает, что пингуются соцсети (разные - твиттер фейсбуки 2, в контакте и др.) и показан их днс? Это сама AVZ делает стандартно, или что-то есть в компе?
-
Сообщение от
tol
Это сама AVZ делает стандартно
Конечно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-