Здравствуйте! У меня на ноуте и компьютере завелся зловред. Сканировал систему с помощью AVZ утилиты, она выдает подозрение на Trojan-Dowenloader.Win32 Autolt.q. Пытался чистить с помощью Dr.Web Live Disk. удоляет несколько файлов , а при старте системы троян возвращается. Пробовал ставить на компьютер антивирус Grizzly Pro, он выдает детект в виде Trojan.Win32.Web Shell.fcuswx. Отсюда видно что троян написан на Unix подобном языке и простое удаление не поможетю. Пробовал делать низкоуровневое форматирование с извлечением карты памяти, c обнулением BIOS, извлекая батарейку питания. У меня есть подозрения на саму Windows 7, так как покупал ее давно в магазине. На коробке написана " Ограничения активации" Распространение и обязательная активация должны осуществляться в пределах Содружества Независимых Государст и Грузии" , еще настораживает что систему можно поставить на любой компьютер и активация проходит без проблем. Подскажите, что с этой пакостью можно сделать,чтобы ее канкретно победить? На всякий случай сделал Log файлы и прикрепляю к сообщению.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Nikolay101, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте! Высылаю следующий LOG. На счет ошибок контролеров , на ноутбуке стоит Windows 7 со стандартными драйверами из коробки. Я пока не вижу смысла ставить все драйвера, мало ли придется переустанавливать. На втором компе сделал зачистку жесткого диска Actide@KillDisk и под Dos строкой в Hex редакторе просматривал сектора диска, в 0, 1 (в начале и конце остаются дорожки байтров), 6( копируются байты до BOOT загрузчика), 32 секторе (в конце прописаны байты), по сути такого не должно оставаться после низкоуровневого форматирования. В интернете скачал книгу от Касперского про вирусы, стал повышать уровень знаний. В книге сказано, что некие виды троянов могут переносится даже на записанных компакт дисках, добавляя себя поверх записи диска. KillDisk записан на CD-RW, вполне вероятно что на диске еще и прописался паразит. Если нужно будет я пришлю и Log Hex редактора.
Здравствуйте! Прикрепляю следующий LOG. После применения скрипта из автозапуска выгрузился psxss.exe.
Я посмотрел в менеджере автозаруска программы AVZ и обнаружил, что остается ветка реестра
C\Windows\system32\psxss.exe
WoW\Boot progman.exe
В модуле пространстве ядра остаются файлы по адресу
C\Windows\system32\Drivers\damp_dumpata.sys
\damp_dumpfve.sys
\damp_msahci.sys
В Диспетчере процессов около 125 PID процессов отмечены красным цветом без всякого описания и без видимых окон, выгрузить не получается из памяти.
При повторном сканировании AVZ выдает следующее сообщение
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8283E000 (участки памяти не статичны)
SDT=829A69C0
KiST=828AD030 (401)
Далее поднимаются все не известные процессы красного цвета. С помощью программы FAR заглянул в файлы Карзины, там лежат несколько файлов с расширением temp. До этого пробовал удалять с помощью Live CD Disk все файлы dump, карзины и еще некоторые, неопознанных процессов становилось меньше но все без успешно.
Похоже эта пакость очень сильно сопряжена с ядром системы.
Здравствуйте! После ввода команды ноут выдает следующее: "Защита ресурсов Windows не обнаружила нарушений целостности".
Я до этого отключил во вкладке защита системы восстановление на всех дисках. Нужно ли присылать LOG из C:\Windows\Logs\CBS\CBS.log ?
Здравствуйте! Меня интересует можно ли закрыть такую утечку простым плагином вроде https Everywhere. Если нет то удалите сообщение.
Благодарю за понимание и поддержку.
Здравствуйте! Меня интересует можно ли закрыть такую утечку простым плагином вроде https Everywhere. Если нет то удалите сообщение.
Благодарю за понимание и поддержку.
Уточните пожалуйста, о какой утечки идет речь?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Https соединение/трафик может защитить только от так называемых атак по середине (клиент<->сервер). Но однако встраечаются случае, когда перехватывают и зашифрованный трафик, например когда на одном из концов имеется вредоносное ПО или злоумышлиннику известен приватный ключ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Ответить с цитированием
и сохраните на Рабочем столе.
Сообщение от Nikolay101
