Показано с 1 по 20 из 20.

Подозрения на вирусы. Возможно имеются вредоносные процессы. (заявка № 152030)

  1. #1
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16

    Подозрения на вирусы. Возможно имеются вредоносные процессы.

    Просьба проверить логи на наличие чего-нибудь подозрительного и опасного. Утилита Security Task Manager показывает что у меня большое количество возможных опасных процессов (если нужно могу выложить скрин). При том когда я чистил компьютер от вирусов, Dr.Web Cureit нашел вирус "Trojan.Packed.24524", который по описанию может запускать процесс taskhost.exe (он у меня и вызывает сейчас подозрение). Да и один из процессов svchost грузит довольно таки не мало, но возможно так и нужно, хотя если можно проверить думаю стоило бы. Ну и вдобавок ко всему, два дня назад, во время игры у меня вылез так называемый "синий экран смерти". С ошибкой DRIVER_IRQL_NOT_LESS_OR_EQUAL. В интернете читал что это скорее всего связано с "кривыми" драйверами, но всё таки я не отбрасываю возможность что причиной послужил вирус. В общем если вы разобрались с тем, на что я имею подозрения и что я бы хотел проверить, надеюсь на вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Skysprim, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте лог полного сканирования МВАМ.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Вот отчёт
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Удалите в MBAM:
    Код:
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
    D:\Программы\Unlocker1.9.1-x64.exe (PUP.Optional.BabylonToolBar.A) -> Действие не было предпринято.
    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Всё выполнил, но остался вопрос, можно ли как-то проверить подозрительные процессы?

    - - - Добавлено - - -

    Да и вот опять проверяю диск С Dr.Web Cureit и он опять находит файл nengine.dll только уже в другом местоположении. Вчера два таких файла удалил, угроза у всех одинаковая "Trojan.Siggen6.685". Что-то меня такое размножение этого файла настораживает, хотелось бы от него избавиться.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Это от какого-то adware модуль, страшного особо ничего.

    Сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Выполнил:

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.7 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\THETA\ADOBEFLASHPLAYERUPDATER.EXE
    zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\THETA\GOOGLEUPD.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\THETA\GOOGLEUPD.EXE
    exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86417025FF} /quiet
    exec MsiExec.exe /I{64A3A4F4-B792-11D6-A78A-00B0D0170250} /quiet
    restart
    Компьютер перезагрузится.

    information

    Уведомление

    Данный скрипт удалит все устаревшие версии Java, т. к. в них имеются критические ошибки, позволяющие выполнить вредоносный код в целевой системе. Проще говоря - при заходе на сайт с вредоносным кодом внедрить в систему без ведома пользователя трояна.
    Скачайте и установите Java 7 Update 45 x64. Уязвимости Java являются частой причиной взлома и заражения системы и поэтому это потенциальная дыра в безопасности.




    Упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Скрипт выполнил, Java обновил, карантин прислал. Но похоже есть ещё маленькая проблемка, при входе в браузер Internet Exploer он загружает сайт kino-filmov.net. Раньше этого не замечал, так как им не пользуюсь, но всё таки неприятно что там изменили домашнюю страницу.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Поменяйте на ту, которая нужна Вам, это, похоже, было единоразово. Повторится - делайте новые логи.

    Выполните скрипт в AVZ при наличии доступа в интернет:
    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
    WBR,
    Vadim

  13. Это понравилось:


  14. #12
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Домашнюю страничку изменил, вроде стало всё нормально, уязвимостей не обнаружил. Благодарю за проверку и за Вашу помощь. Надеюсь теперь проблем поубавится. И если можно ещё один вопрос, Вы случайно не знаете как можно включить автозагрузку iso-образов? Просто недавно через avz в Мастере поиска и устранения проблем убрал эту функцию, а вернуть через него уже не получается.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Может быть, автозагрузку с CD?
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Ну да, я это имел ввиду. Не знаете как?

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,448
    Вес репутации
    730
    Выполните скрипт в AVZ

    Код:
    begin
     RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
     RebootWindows(false);
    end.
    проверьте работу автозапуска с CD

  18. Это понравилось:


  19. #16
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Спасибо Вам, теперь всё работает!

  20. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Например, через Панель управления -> Автозапуск.
    WBR,
    Vadim

  21. #18
    Junior Member Репутация
    Регистрация
    28.10.2013
    Сообщений
    32
    Вес репутации
    16
    Спасибо, буду знать.

  22. #19

  23. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Skysprim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Имеются подозрения на вирусы
      От Legi в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 04.11.2013, 19:11
    2. Возможно имеются гадости...
      От zonderz в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 15.08.2011, 21:23
    3. Ответов: 12
      Последнее сообщение: 20.12.2010, 13:15
    4. Имеются замаскированные процессы
      От tnt в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.10.2010, 11:11
    5. Имеются подозрения
      От alsoclean в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.10.2008, 13:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01092 seconds with 17 queries