Симптомы:
- общая приторможенность системы.
- странная ситуация.. при заходе с этого компа на Вк.ком, при вводе логина-пароля, он просит ввести номер телефона для привязки его к странице (хотя он давно привязан). С других компов этого не наблюдается, и в профиль заходишь без проблем. Пароль сменил на всякий. Адресную строку проверил миллион раз. Вк.ком
- странный процесс betweenservicexp висит в задачах. Подозрительный он какой-то.
Прошелся касперским, он нашел несколько гадостей. Прошелся и в обычном и в безопасном режиме.
Прошелся AVZ. Что-то находит, но как только запускаешь снова, он опять показывает те же ошибки. Видимо, что то не так я делаю.
На сколько я понимаю, нужны вот эти логи?
Если я что-то не верно понял, прошу понять и простить, готов дослать все, что потребуется.
Спасибо.
Последний раз редактировалось an_de; 03.09.2013 в 02:01.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) an_de, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
C:\Documents and Settings\All Users\Application Data\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDA (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\CPDM (Refog.Keylogger) -> Действие не было предпринято.
E:\Torrent incomplite\Elite-Keylogger-4.92-RU-Packed\ek_install.exe (PUP.EliteKeylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\key.bin (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\M0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\sqlite3.dll (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\1\S0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\D0000 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\I40917_5730542708 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\I40918_4243867477 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\I40918_9953236227 (Refog.Keylogger) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\MPK\2\S0000 (Refog.Keylogger) -> Действие не было предпринято.
Затем удалите Malwarebytes Anti-Malware, его использование в качестве антивируса с постоянной защитой не рекомендуется.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
У меня если не сложно, последний вопрос. Какой антивирус посоветуете приобрести? Что сейчас защищает лучше всего, при этом не тормозит машину и работает без сложных настроек?
На сколько я понимаю, теперь машина чиста? Все стало хорошо?
Да. Почти.
Сообщение от an_de
И кстати на сколько плохо все было?
Система без антивирусов, с уязвимостями... Могли словить и что посерьёзней.
Выполните рекомендации после лечения.
И советы от меня лично.
1. Операционную систему надо держать обновлённой постоянно, обновлять через Microsoft Update, лучше в автоматическом режиме.
2. Отслеживайте обновления критичных к безопасности программ: браузеры в первую очередь, Adobe Reader, Adobe Flash Player, Java Runtime Environment - можно через скрипт из сообщения #7.
3. Совет, который никто, к сожалению не выполняет, а он ключевой в обеспечении безопасности: ни в коем случае не работать под администраторской учетной записью, по крайней мере, в Windows XP, а в 7-ке и Висте - не отключать UAC полностью и реагировать адекватно на вопросы "Разрешить внесение изменений на данном компьютере следующей программе неизвестного издателя?". Как компромиссный вариант - для работы в интернете использовать запуск браузеров в "песочнице" через программы типа Sandboxie (есть free версии), либо с ограниченными правами с помощью программ типа Sudo for Windows SudoWin.
4. И последнее (но не по важности) условие - выполнять простейшие правила гигиены в интернете:
- не кликать бездумно по ссылкам в форумах, одноклассниках, вконтактах etc. - это сейчас один из самых распространённых путей заражения;
- программы скачивать с сайта производителя, а не по ссылкам с варезников;
- на потенциально опасные ресурсы - хакерские, варезные, порно и т.п. лучше вовсе не заходить, Ну, или уж ходить - то на проверенные . Вообще, использование лицензионного софта реально ведёт к большей защищенности. Не потому, что, как любят писать в рекламе, лицензионная Windows более защищена (только от проверок отдела "К") - пиратская с ключом, проходящим проверку, и со всеми обновлениями ничуть не менее безопасна. Просто постоянный поиск ключей, кряков, патчей и т.п. часто ведёт к тому, что словите какую-нибудь дрянь. А ещё во всяческих "сборках" часто по умолчанию установлены пониженные установки безопасности системы и браузеров, отключено автоматическое обновление и т. п.
Это "почти" - нужно добивать?
Антивирь снес буквально вчера. Так что это не перманентное состояние.
1.2. Спасибо, учту.
3. Сколько работаю с компом и в интернете (а это ОЧЕНЬ давно), впервые услышал об уязвимости режима "администратор". Не вопрос. Создам уч.запись, раз это упрощает жизнь.
4. Само собой. Варез и порно, есть на торрентах. И ходить на сайты за ними нет надобности. Но к сожалению, гадюки ведь дошли и до сайтов с кулинарией.... Гигиена изучена давно. Тут был скорее несчастный случай видимо какой-то.
А на счет лицензии... процесс идет. Медленно, но идет.
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
Введите sfc /scannow и нажмите Энтер.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
После того как закончится проверка в командной строке введите команду:
После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.
Возможно понадобиться диск с дистрибутивом Windows для восстановления службы терминалов.
Все сделал. Минут 5 машина судорожно торохтя диском что-то делала.
Вроде все прошло успешно (ошибок не выпадало).
НО. Указанный файл в указанном месте не появился.
Здесь другой метод нужен, я сгоряча удалил бэкдор, который подменил системную службу. Ща вернём на место.
Распакуйте твик реестра из вложения: Вложение 434583
И примените (двойной клик мышкой, согласиться на изменение реестра). Перегрузите систему и проверьте, всё ли в порядке.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: