Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 27.

Подозрительное поведение файлов (заявка № 215855)

  1. #1
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53

    Подозрительное поведение файлов

    https://www.virustotal.com/latest-sc...F1E64A5BE677DD - 100% троян
    https://www.virustotal.com/latest-sc...1FF3CA94A565C3 - троян.
    После отложенного удаления, при перезагрузке, восстанавливаются
    В анализе - не проверены.

    7D184B6C6D647F6B7FF1D7BDD5C6C06F - ОЧЕНЬ подозрителен.. Не удаляется при отложенном удалении, Стартует из TEMP, в реестре не найден. Кильнуть процесс не хвататет прав администратора, так как запущен под SYSTEM

    В списке процессов 7D184B6C6D647F6B7FF1D7BDD5C6C06F отображается как родитель DA9400936F7199D2621FF3CA94A565C3 и D9EA10B4401B6E448BF1E64A5BE677DD
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Leecher, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('c:\users\dad\appdata\local\imekcvp\imekcvp.exe','');
     TerminateProcessByName('C:\Windows\Temp\msczlkdsrv.exe');
     QuarantineFile('C:\Windows\Temp\msczlkdsrv.exe','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Свежий карантин прислал..
    В прошлом варианте (3 дня назад было гораздо больше файлов..)

  6. #5
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Карантин прислал, жду ответа. Спасибо.

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    171026_055528_CompleteScanResults.txt_59f14ea08a4e d.zip Загружен

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Логи прикрепляют к сообщению, а не засоряют систему сбора карантинов
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи прикрепляют к сообщению, а не засоряют систему сбора карантинов
    Я не был уверен, куда отправлять лог
    Я, надеюсь, моя ошибка исправима и я не испортил вам коллекцию карантинов
    Прикрепил здесь..
    Вложения Вложения

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    CrackTool.Agent, C:\USERS\DAD\DOWNLOADS\ADOBE FROM PHIL\XF-ADOBECC2014.EXE, No Action By User, [76], [146743],1.0.3097
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    cap.png
    Файл удалить невозможно
    Также присутствуют нежелательные процессы
    Вложения Вложения

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Я ничего не просил удалять при помощи LockHunter

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('C:\Windows\Temp\msczlkdsrv.exe');
     TerminateProcessByName('c:\users\dad\appdata\local\imekcvp\unizpvc.exe');
     DeleteFile('c:\users\dad\appdata\local\imekcvp\unizpvc.exe','32');
     DeleteFile('C:\Windows\Temp\msczlkdsrv.exe','32');
     DeleteFile('C:\Users\Dad\AppData\Local\imekcvp\libglesv2.dll','32');
     DeleteFile('C:\Users\Dad\AppData\Local\imekcvp\libegl.dll','32');
     DeleteFile('C:\Users\Dad\AppData\Local\imekcvp\libcef.dll','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Цитата Сообщение от thyrex Посмотреть сообщение
    Я ничего не просил удалять при помощи LockHunter
    MBAM не смог удалить тоже этот файл
    Новые логи прикрепляю..
    Изменений не видно (за исключением деинсталлированных программ)
    Вложения Вложения

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Отключите через msconfig запуск при старте системы всех программ, не имеющих отношения к системе, и проверьте проблему после перезагрузки
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Cap2.png
    Вложения Вложения

  17. #16
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    И что я должен увидеть на скриншоте? Думаю, что программу NETGEAR устанавливали сами для контроля сетевой активности
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  18. #17
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    На скриншоте я показал, что все не относящеяся к системе - отключено..
    Netgear - софт от роутера - та что мимо
    Но зловред все равно в процессах после перезагрузки.. Стартует из Темпа.. удлить и отключить не получается данными утилитами, к сожалению

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Выполнено
    Вложения Вложения

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Файлы
    Код:
    C:\Users\Dad\Downloads\Download.iso
    C:\Users\Dad\Downloads\ESET NOD32 Antivirus 1012100 License Keys (x86x64) [Latest].iso
    проверьте на virustotal.com и приведите ссылки на результаты.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    () C:\Users\Dad\AppData\Local\imekcvp\imekcvp.exe
    () C:\Users\Dad\AppData\Local\imekcvp\unizpvc.exe
    R1 ESProtectionDriver; C:\WINDOWS\system32\drivers\mbae64.sys [77440 2017-10-04] ()
    S3 gfiark; C:\WINDOWS\System32\drivers\gfiark.sys [40584 2015-08-27] (ThreatTrack Security)
    S3 gfiutil; C:\WINDOWS\System32\drivers\gfiutil.sys [32400 2016-03-04] (ThreatTrack Security)
    File: C:\WINDOWS\system32\Drivers\rasosvyb.sys
    File: C:\WINDOWS\system32\Drivers\89fb4f0d4384ff777a05bf413f46e0c2.sys
    File: C:\WINDOWS\system32\Drivers\msidntfs.sys
    Folder: C:\WINDOWS\SysWOW64\utcvrez
    Folder: C:\WINDOWS\system32\utcvrez
    Folder: C:\Users\Dad\AppData\Local\CEF
    Folder: C:\Users\Dad\AppData\Roaming\et
    File: C:\WINDOWS\intermixed.exe
    File: C:\WINDOWS\system32\Drivers\28cfd9237e2cbb556139353ecdee8501.sys
    2017-09-15 02:48 - 2017-09-15 02:48 - 000071552 _____ (QXKOPO) C:\WINDOWS\system32\Drivers\28cfd9237e2cbb556139353ecdee8501.sys
    2017-09-17 21:46 - 2017-09-17 21:46 - 000000020 _____ C:\WINDOWS\b43830901
    2017-09-17 22:01 - 2017-10-31 11:57 - 000000000 ____D C:\Users\Dad\AppData\Local\imekcvp
    2017-09-17 22:01 - 2017-10-29 08:09 - 000000000 ____D C:\Users\Dad\AppData\Local\wmielpz
    2017-09-17 21:52 - 2017-10-31 08:15 - 000081696 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\msidntfs.sys
    2017-10-31 08:14 - 2017-10-31 08:14 - 000115536 _____ (Microsoft Corporation) C:\WINDOWS\system32\Drivers\rasosvyb.sys
    2017-09-17 02:31 - 2017-09-17 02:31 - 000012288 _____ (Jason) C:\WINDOWS\intermixed.exe
    2017-10-28 16:56 - 2016-08-03 00:28 - 000962072 _____ (BlueStack Systems, Inc.) C:\Users\Dad\AppData\Local\Temp\BluestacksUninstaller.exe
    2017-10-28 16:56 - 2016-08-03 00:27 - 000187416 _____ (BlueStack Systems) C:\Users\Dad\AppData\Local\Temp\HD-LibraryHandler.dll
    2017-10-28 16:56 - 2016-08-03 00:25 - 000246808 _____ (BlueStack Systems) C:\Users\Dad\AppData\Local\Temp\HD-Logger-Native.dll
    2017-10-25 17:40 - 2017-10-25 17:39 - 071535032 _____ (Malwarebytes                                                ) C:\Users\Dad\AppData\Local\Temp\mb3-setup-consumer-3.2.2.2029-1.0.212-1.0.2951 (1).exe
    CMD: sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
    CMD: sc.exe config mrxsmb10 start= disabled
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Скачайте утилиту Universal Virus Sniffer отсюда и распакуйте полностью.
    Запустите файл Start.exe из папки с программой Universal Virus Sniffer. Когда появится окно программы, выберите "Заапустить под LocalSystem (максимальные права, без доступа к сети)".
    В меню "Файл" -> "Сохранить полный образ автозапуска". После сохранения образ автозапуска будет автоматически упакован в архив 7z, имя которого, если Вы не изменяли его при сохранении, будет такого вида:
    ИМЯКОМПЬЮТЕРА_ГГГГ-ММ-ДД_ЧЧ-ММ-СС.7z - т. е имя компьютера и далее дата и время создания образа.
    Прикрепите этот файл к своему сообщению. Если не влезет во вложения, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
    WBR,
    Vadim

  • Уважаемый(ая) Leecher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрительное поведение ПК
      От Turbograph в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.09.2017, 20:46
    2. Подозрительное поведение ОС
      От BooZ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2011, 23:56
    3. Подозрительное поведение ПК
      От Genie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.06.2010, 09:45
    4. Подозрительное поведение
      От SlavikS70 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.03.2010, 08:53
    5. Подозрительное поведение
      От refs в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2009, 13:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01062 seconds with 18 queries