Показано с 1 по 17 из 17.

Вирус в системе и в сети.Антивирусы не помогают! (заявка № 123927)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43

    Вирус в системе и в сети.Антивирусы не помогают!

    Здравствуйте, прошу Вас помочь избавиться от вируса.

    Все началось с того, что, поставив загружать торрент на закачку, с локального трекера провайдера "Билайн" город Ульяновск, я увидел в своем торрент-клиенте множество иностранных айпи адресов из США, Испании, Израиля и других стран, а также странные айпи типа VENOM-ПК, которые мне раздавали этот торрент. Причем количество раздающих и качающих постоянно росло( доходило до 500 ).Я посмотрел на трекере реальную информацию о раздающих и качающих( было 10 сидов и 2 пира), и их айпи адреса, в клиенте я их не увидел. Скорость загрузки была не более 2 мб/c, с такой скоростью я качал с внешних трекеров, с локальных скорость всегда доходила до 12 мб/c.
    На сервер трекера не передавалась статистика о закачке, как будто я скачивал с другого ресурса. Сейчас такое же происходит с любым трекером и внешним и локальным. Переустановка торент-клиента не помогла.
    Позже я стал замечать быстрорастущее число принятых интернет пакетов, хотя ничего не закачивал, а иногда наоборот – очень сильно увеличивалось количество отправленных, при том, что торент-клиент был выключен и даже браузер был закрыт.
    В истории браузера я каждый день обнаруживаю сайты на которые не заходил. Например: browseridvaccinestats.appspot.com
    Мне кажется, что вирус что-то постоянно скачивает на компьютер.
    Систему проверял разными антивирусами( аваст, доктор веб, касперский, нортон, панда) в обычном и безопасном режимах. Нашлось несколько троянов, но проблема не разрешилась. Последняя проверка Panda Cloud Cleaner обнаружила несколько подозрительных соединений и закрыла их. После этого на дисках С и D появились скрытые системные папки System Volume Information и RECYCLER, а также множество системных скрытых файлов, например таких: AUTOEXEC.BAT, CONFIG.SYS, MSDOS.SYS, NTDETECT.COM. Также, почти во всех папках, появился файл Thumbs.db, а в некоторых desktop.ini, а также в папке Documents and Settings появились файлы:ntuser.dat, ntuser.dat.LOG, ntuser.ini. Папка WINDOWS стала видимой.
    Norton Internet Security обнаружил 2 трояна в папках System Volume Information и поместил их в карантин:
    Категория:Карантин
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Путь - имя файла
    24.08.2012 19:13:32,Высокая,a0000530.exe (Trojan Horse) обнаружен Автоматическая защита,Помещено в карантин,Устранено — действия не требуются,d:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp2\a0000530.exe
    Категория:Карантин
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Путь - имя файла
    24.08.2012 18:26:54,Высокая,a0000515.exe (Suspicious.Cloud.AM) обнаружен Автоматическая защита,Помещено в карантин,Устранено — действия не требуются,c:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp2\a0000515.exe

    В реестре HKEY_LOCAL_MACHNE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Winlogon под Userinit C:\WINDOWS\system32\userinit.exe, появился подозрительный ключ Userini в котором вразброс были прописаны цифры и буквы. Его я удалил.
    Также в диспетчере я заметил что некоторые процессы копируются, как например wscntfy.exe. Все стало очень медленно грузиться , несколько раз компьютер зависал.

    Антивирусы по-прежнему ничего не находят!

    Очень надеюсь на вашу помощь. Заранее спасибо за ответ)
    Последний раз редактировалось kotyh; 25.08.2012 в 22:26.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) kotyh, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. Это понравилось:


  5. #3
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    папка Quarantine пуста, есть только virusinfo_cure.zip в папке LOG

  6. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
    
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
    
    O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
    
    O3 - Toolbar: (no name) - {1208AB5D-4748-49fe-A74A-484AE2FA5D34} - (no file)
    
    O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Setup.exe','');
    executerepair(16);
    executerepair(20);
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Установите SP3 (может потребоваться активация), новый Internet Explorer, а также все доступные обновления для Windows

    - Повторите логи.


    - Сделайте лог полного сканирования MBAM.


  7. Это понравилось:


  8. #5
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    Выслал карантин.



    - - - Добавлено - - -

    Сделал логи.



    - - - Добавлено - - -

    Журнал Norton Internet Security:
    Категория:Брандмауэр - Действия
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
    26.08.2012 6:40:59,Информация,"Передача данных блокирована функцией блокировки неиспользуемых портов. Входящее соединение TCP от 178.132.5.20, локальная служба Port (39832) .",Обнаружено,Действия не требуются,Брандмауэр - Действия
    Передача данных блокирована функцией блокировки неиспользуемых портов.<br>Входящее соединение TCP. <br>Удаленный адрес, локальная служба: (178.132.5.20, Port (39832) ).

    Категория:Защита от изменений продукта Norton
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Дата,Cубъект,PID субъекта,Цель,PID цели ,Действие,Реакция
    26.08.2012 6:43:34,Средний,Блокирован несанкционированный доступ (Отправить окну прерывающее сообщение),Заблокировано,Действия не требуются,26.08.2012 6:43:34,C:\WINDOWS\EXPLORER.EXE,1940,C:\Program Files\Norton Internet Security\Engine\19.8.0.14\ccsvchst.exe,1116,Отправ ить окну прерывающее сообщение,Блокирован несанкционированный доступ

    Категория:Защита от изменений продукта Norton
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Дата,Cубъект,PID субъекта,Цель,PID цели ,Действие,Реакция
    26.08.2012 6:54:28,Средний,Блокирован несанкционированный доступ (Скопировать объект),Заблокировано,Действия не требуются,26.08.2012 6:54:28,C:\WINDOWS\SYSTEM32\SERVICES.EXE,688,C:\Pr ogram Files\Norton Internet Security\Engine\19.8.0.14\ccsvchst.exe,3424,Скопир овать объект,Блокирован несанкционированный доступ

    Категория:Брандмауэр - Сеть и соединения
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
    26.08.2012 6:54:25,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"Teredo Tunneling Pseudo-Interface\" (IP-адрес: fe80::ffff:ffff:fffd%4).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
    Защита подключения к новой обнаруженной сети через адаптер "Teredo Tunneling Pseudo-Interface" (IP-адрес: fe80::ffff:ffff:fffd%4).

    Категория:Брандмауэр - Сеть и соединения
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
    26.08.2012 6:52:47,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"Automatic Tunneling Pseudo-Interface\" (IP-адрес: fe80::5efe:10.86.75.230%2).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
    Защита подключения к новой обнаруженной сети через адаптер "Automatic Tunneling Pseudo-Interface" (IP-адрес: fe80::5efe:10.86.75.230%2).

    Категория:Брандмауэр - Сеть и соединения
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
    26.08.2012 6:52:09,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"NVIDIA nForce Networking Controller\" (IP-адрес: 10.86.75.230).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
    Защита подключения к новой обнаруженной сети через адаптер "NVIDIA nForce Networking Controller" (IP-адрес: 10.86.75.230).

    Категория:Брандмауэр - Сеть и соединения
    Дата и время,Риск,Операции ,Статус,Рекомендуемое действие,Категория
    26.08.2012 6:51:46,Информация,"Защита подключения к новой обнаруженной сети через адаптер \"Loopback Pseudo-Interface\" (IP-адрес: fe80::1%1).",Обнаружено,Действия не требуются,Брандмауэр - Сеть и соединения
    Защита подключения к новой обнаруженной сети через адаптер "Loopback Pseudo-Interface" (IP-адрес: fe80::1%1).

    - - - Добавлено - - -

    Просмотр событий/Предупреждение/WinMgmt:
    1.Поставщик HiPerfCooker_v1 зарегистрирован в пространстве имен WMI Root\WMI с правами локальной системы. Это может привести к нарушениям зашиты, если поставщику не удастся олицетворить запрос пользователя.

    2.Поставщик Rsop Planning Mode Provider зарегистрирован в пространстве имен WMI root\RSOP, но не указал свойство HostingModel. Для запуска поставщика будет использоваться учетная запись LocalSystem. Это привилегированная учетная запись, и если поставщику не удастся олицетворить запрос пользователя, это может привести к нарушению безопасности. Проверьте, что поставщик не угрожает безопасности, и обновите свойство регистрации поставщика HostingModel до учетной записи с наименьшими привилегиями, необходимые для данной функциональности.
    Последний раз редактировалось kotyh; 26.08.2012 в 07:45.

  9. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в АВЗ:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    end.

    - Выполните в AVZ скрипт из файла ScanVuln.txt
    - Откройте файл avz_log.txt из под-папки LOG.
    - Пройдитесь по ссылкам из файла avz_log.txt и установите важные обновления.
    - Перезагрузите компьютер.
    - Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.

    Сообщите какие проблемы остались, сообщения антивирусами давайте картинками, а не текстом.


  10. Это понравилось:


  11. #7
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    Торрент- клиент теперь работает правильно. В истории браузера больше не вижу подозрительных сайтов.


    Norton Internet Security продолжает блокировать какие-то входящие соединения и несанкционированные доступы:
    Вложение 375558Вложение 375559Вложение 375560

    Все подозрительные папки и файлы остались: System Volume Information( к ней нет доступа), RECYCLER,LocalService.NT AUTHORITY,NetworkService.NT AUTHORITY;
    файлы ntuser.dat, ntuser.dat.LOG, ntuser.ini почти во всех папках Documents and Settings;
    desktop.ini,Thumbs.db и много других файлов.
    Последний раз редактировалось kotyh; 27.08.2012 в 01:25.

  12. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Цитата Сообщение от kotyh Посмотреть сообщение
    Все подозрительные папки и файлы остались
    Нет в них ничего подозрительного. Обычные файлы и папки самой системы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. Это понравилось:


  14. #9
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    При сканировании нортон нашел:нашел 26.08.2012 20:44:53,Высокая,a0002835.exe (Hacktool) обнаружен Вирусный сканер,Помещено в карантин,Устранено — действия не требуются,c:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp5\a0002835.exe
    фото не загружается
    Последний раз редактировалось kotyh; 27.08.2012 в 01:27.

  15. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от kotyh Посмотреть сообщение
    При сканировании нортон нашел:нашел 26.08.2012 20:44:53,Высокая,a0002835.exe (Hacktool) обнаружен Вирусный сканер,Помещено в карантин,Устранено — действия не требуются,c:\system volume information\_restore{2c3b11e4-3d3f-4c5b-913d-2a52c27997a2}\rp5\a0002835.exe
    фото не загружается
    Почистите старые точки восстановления и создайте новую.


  16. Это понравилось:


  17. #11
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    Удалились старые точки кроме последней, создал новую и удалил предыдущую. Правильно?

    - - - Добавлено - - -

    После подключения к локальной сети появляется сообщение Malwarebytes Anti-Malware:Вложение 375617
    Последний раз редактировалось kotyh; 27.08.2012 в 01:50.

  18. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от kotyh Посмотреть сообщение
    Удалились старые точки кроме последней, создал новую и удалил предыдущую. Правильно?
    Правильно.

    Цитата Сообщение от kotyh Посмотреть сообщение
    После подключения к локальной сети появляется сообщение Malwarebytes Anti-Malware:
    Это нормально, удалите MBAM.


  19. Это понравилось:


  20. #13
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    Спасибо Вам большое за помощь

    Но все ровно кажется, что в компе что-то ползает:CCleaner видит полно непонятных куки сайтов, как shop.conduitapps.com на которые я точно не заходил:Вложение 375912.

    При загрузке windows в диспетчере появляются сразу два процесса wmiprvse.exe, стало раза в два больше svchost.exe, которые неплохо грузят процессор. Norton Internet Security блокирует соединения, что он блокирует ? это нормально?
    Последний раз редактировалось kotyh; 28.08.2012 в 22:17.

  21. #14
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    Может еще как-нибудь комп проверить?
    Вложение 375913Вложение 375914Вложение 375915
    Последний раз редактировалось kotyh; 29.08.2012 в 15:41.

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Почистите кеш и куки браузеров, больше ничего не надо.


  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    25.08.2012
    Сообщений
    16
    Вес репутации
    43
    да чистил я куки и кеш, в истории они появляются снова, их видит CCleaner и пару раз нортон находил несколько следящих куки. Ну если Вы говорите, что все норм, то ладно)
    Большое спасибо)
    Последний раз редактировалось kotyh; 29.08.2012 в 15:46.

  25. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) kotyh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Заражение, антивирусы не помогают.
      От Иван Марков в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.12.2011, 14:37
    2. Вирус в системе Cure It и AVZ не помогают (заявка №94607)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 1
      Последнее сообщение: 15.07.2011, 09:01
    3. Ответов: 9
      Последнее сообщение: 01.10.2009, 15:19
    4. антивирусы не помогают
      От bizt в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.08.2009, 16:25
    5. антивирусы не помогают
      От Lorrin19 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 06:40

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01099 seconds with 19 queries