Есть подозрения на вирусы?
Здравствуйте, у меня ноутбук Lenovo G710. У меня возникли подозрения на вирус. Недавно стал немного тормозить, а сегодня даже языковая панель не появилась и сканирование антивирусом вообще стало выдавать непредвиденную ошибку сканирования на антивирусе McaFee не грузятся обновления всегда стоит 0% и он даже просто перестал появляться.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Никита Громов, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
- выполните такой скрипт в AVZ
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.Код:begin ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs',''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txtКод:%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
вот
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.Код:C:\ProgramData\Microsoft\Windows\OFFICEICON.CMD
MBAM деинсталируйте.
проверьте проблему в безопасном режиме.
У меня все наладилось, но вчера я сканировал ноутбук через AVZ и обнаружил какие-то перехватчики руткиты.
PHP код:Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->7745BBD2->7756E524
Перехватчик kernel32.dll:ReadConsoleInputExA (1103) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->7745BC05->7756E548
Перехватчик kernel32.dll:ReadConsoleInputExW (1104) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A8E138->74EC12A3
Перехватчик ntdll.dll:NtCreateFile (268) нейтрализован
Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A8DE58->74EA34CF
Перехватчик ntdll.dll:NtSetInformationFile (547) нейтрализован
Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A8E1E8->74EB9925
Перехватчик ntdll.dll:NtSetValueKey (577) нейтрализован
Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A8E138->74EC12A3
Перехватчик ntdll.dll:ZwCreateFile (1621) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A8DE58->74EA34CF
Перехватчик ntdll.dll:ZwSetInformationFile (1898) нейтрализован
Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->77A8E1E8->74EB9925
Перехватчик ntdll.dll:ZwSetValueKey (1928) нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->7551B633->74EA3537
Перехватчик user32.dll:CallNextHookEx (1531) нейтрализован
Функция user32.dll:EnumWindows (1764) перехвачена, метод ProcAddressHijack.GetProcAddress ->75527992->74EFCCC5
Перехватчик user32.dll:EnumWindows (1764) нейтрализован
Функция user32.dll:GetWindowThreadProcessId (1973) перехвачена, метод ProcAddressHijack.GetProcAddress ->75518DDC->74EFCCAF
Перехватчик user32.dll:GetWindowThreadProcessId (1973) нейтрализован
Функция user32.dll:IsWindowVisible (2043) перехвачена, метод ProcAddressHijack.GetProcAddress ->75519DA4->74EFCC99
Перехватчик user32.dll:IsWindowVisible (2043) нейтрализован
Функция user32.dll:MessageBoxA (2090) перехвачена, метод ProcAddressHijack.GetProcAddress ->75575F69->74EFDEEA
Перехватчик user32.dll:MessageBoxA (2090) нейтрализован
Функция user32.dll:MessageBoxExA (2091) перехвачена, метод ProcAddressHijack.GetProcAddress ->75575FAF->74EFDE4B
Перехватчик user32.dll:MessageBoxExA (2091) нейтрализован
Функция user32.dll:MessageBoxExW (2092) перехвачена, метод ProcAddressHijack.GetProcAddress ->75575FD3->74EFDDFA
Перехватчик user32.dll:MessageBoxExW (2092) нейтрализован
Функция user32.dll:MessageBoxIndirectA (2093) перехвачена, метод ProcAddressHijack.GetProcAddress ->7557618F->74EFDDB5
Перехватчик user32.dll:MessageBoxIndirectA (2093) нейтрализован
Функция user32.dll:MessageBoxIndirectW (2094) перехвачена, метод ProcAddressHijack.GetProcAddress ->7553148C->74EFDD6D
Перехватчик user32.dll:MessageBoxIndirectW (2094) нейтрализован
Функция user32.dll:MessageBoxW (2097) перехвачена, метод ProcAddressHijack.GetProcAddress ->75575F8C->74EFDE9C
Перехватчик user32.dll:MessageBoxW (2097) нейтрализован
Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->7551C784->74EFC5DF
Перехватчик user32.dll:SetWindowsHookExW (2298) нейтрализован
они всегда есть в логе, это нормально.Сообщение от Никита Громов
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
А что потом с этим логом делать? Его выложить надо?
- - - - -Добавлено - - - - -
Да еще у меня продолжалось сканирование и было обнаружено:
- - - - -Добавлено - - - - -PHP код:C:\Windows\SoftwareDistribution\Download\0608183358cc3ae69452120312e5c484\270f9d07fba64d951b5a50b96694a9d377a03d60_2 >>> подозрение на Backdoor.Win32.Oserdi.ama ( 0FAB309F 107A10D6 002945FE 0029429F 65536)
C:\Windows\Logs\ONLINE\Windows8-RT-KB2862768.log.dpx >>> подозрение на Trojan.Win32.Agent2.byu ( 1BAD46FB 1E621768 004D6E44 004D6E44 131072)
C:\Users\Никита\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\LiveComm.etl >>> подозрение на Trojan.Win32.Agent2.byu ( 1BB07C63 1E621768 004D6E44 004D6E44 131072)
C:\Users\Никита\AppData\Local\Opera Software\Opera Stable\Cache\f_00014c >>> подозрение на Trojan-Downloader.Win32.Agent.aayr ( 0DEE432F 0D871B49 0023019C 00202AB6 65536)
Что с этим делать?
всё написано в моём посте
это просто подозрение.
Но для надёжности можете эти файлы прислать в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
хорошо
Да еще когда я устанавливал антивирус dr.web security у меня ноутук просто зависал после включения минут через 5 и так каждый раз даже когда я виндовс переустановил и установил этот антивирус он все равно тупо зависал после 5 минут использования почему.это что вирус успевает проникать?
- - - - -Добавлено - - - - -
вот
Уведомление
Прикреплять карантин к сообщению запрещено. Для карантинов есть ссылка вверху темы.
- - - - -Добавлено - - - - -
Уведомление
Прикреплять карантин к сообщению запрещено. Для карантинов есть ссылка вверху темы.
этот вопрос стоит задать в тех. поддержку Доктора Веб. Я не могу за них ответить, почему их антивирус тупит и зависает.
Я думаю когда устанавливал этот антивирус я же тот удалял вот может и вирусы проскочить успевают и из за этого он виснет может быть такое?Да еще когда я выполняю проверку на вирусы через антивирус я иногда смотрю что проверяется и вижу что иногда сканируется (Rootkit)
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Никита Громов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
