Страница 2 из 2 Первая 12
Показано с 21 по 37 из 37.

lsass.exe много использует физ.памяти. [Rootkit.Win64.Agent.bfi] (заявка № 225067)

  1. #21
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Цитата Сообщение от Evgeniy35Rus Посмотреть сообщение
    парачку файлов удалил, как мне показалось, не связанный с системной папкой, но уже процесс lsass.exe не кушает столько, сколько ему положено.
    Можете посмотреть в логах KIS, какие именно файлы он при первой проверке удалил?
    WBR,
    Vadim

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    Увы, рано обрадовался, попробывал отключать KIS на время и процесс опять так же нагружается.

  4. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Надо всё же с загрузочной флэшки загружаться и образ делать. СD/DVD привод есть в системе и CD-R/RW болванки, может, с диска проще загрузиться будет?
    WBR,
    Vadim

  5. #24
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    Нет, я раньше делал загрузку с флешки, ладно попробую снова с флешки сделать.
    Странно Касперский как заглушка пока включен (даже 4 активных браузера работают и все хорошо) , этот вирус никак не проявляется, отключю и опять до перезагрузки процесс опять загружается.

    Попробывал отключить В KIS'е в защите "Веб-Антивирус" это после перезагрузки, и проц опять загружается.

    Еще в Мониторе ресурсов У процесса lsass.exe В столбце Завершено (КБ) с этой проблемой значение железобетонно 2 420 296 КБ

    - - - - -Добавлено - - - - -

    Полный образ автозагрузки из под LiveCD диска C:\Windows
    Вложения Вложения
    Последний раз редактировалось Evgeniy35Rus; 23.05.2020 в 12:19.

  6. #25
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполняйте скрипт из вложения, загрузившись с LiveCD. Сохраните заранее в папку с UVS, потом Скрипт -> Выполнить скрипт из файла...
    COMP.TXT

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  7. Это понравилось:


  8. #26
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Выполняйте скрипт из вложения, загрузившись с LiveCD. Сохраните заранее в папку с UVS, потом Скрипт -> Выполнить скрипт из файла...
    COMP.TXT

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    вообще выполнил скрипт, правда архив был в .7z пришлось по требованиям отправки под .zip с паролем переделать (Понял причину .7z сначала не тот файл отправил)

    ЛОГ

    Вау, походу решилось (я уже было начинал готовиться к переустановке винды) (даже с выключенным Касперским все нормально с процессом), странно скрипт маленький, а компьютер попытал не хило, блин не думал что вирус вот так очень глубоко может сидеть, что даже ни файлов подозрительных, ни записей нету на первый взгляд, и активность такая не заметная в фоне была

    не тот файл на карантин отправил( сейчас отправлю нужный

    Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
    WDF10283.SYS - это и был вирус, жаль дата сбилась у файла, так бы понял когда подцепил (не особо понял как по логам он вирусом определился, если только из-за неизвестной подписи)
    Вложения Вложения
    Последний раз редактировалось Evgeniy35Rus; 23.05.2020 в 17:18.

  9. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Создан 18.05.2020 в 16:44:59
    Изменен 18.05.2020 в 16:49:01
    Вспоминайте, что в тот день устанавливали/запускали.
    WBR,
    Vadim

  10. Это понравилось:

    SQ

  11. #28
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    что в тот день устанавливали.
    Попробывал установить кучю тех программ, что ставил в тот день, опять не получилось поймать вирус, не все проги установщиками остались, что были. Ну на этом тогда все закончу эту тему.
    Спасибо за помощь пользователям Sandor, santy, Vvvyg.

  12. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Если не лень - сделайте лог Farbar Recovery Scan Tool, кое что, похоже, подчистить надо.
    WBR,
    Vadim

  13. #30
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    готово
    Вложения Вложения

  14. #31
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {039C5BD6-A5CA-45C2-8CDC-A4A261B29AAE} - \KMSAuto -> No File <==== ATTENTION
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    Folder: C:\Windows\speechstracing
    2020-05-22 12:57 - 2020-05-22 12:57 - 000000000 _____ C:\Windows\SysWOW64\RMVR-SRVC-.1.0.0.1266_6268.tiny.dmp
    FirewallRules: [{C6F1F700-D977-4305-9A23-31C26D54143A}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{E1F6B62E-8090-4EB6-93B2-D7C4DB45E258}] => (Block) LPort=445
    FirewallRules: [{BED5C2D7-67EA-432B-90ED-125E068D314D}] => (Block) LPort=445
    FirewallRules: [{D396B619-E357-4F38-875B-B055E954E746}] => (Block) LPort=139
    FirewallRules: [{3683E392-9B74-4DFD-ABC1-730F95BBDB5D}] => (Block) LPort=139
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  15. #32
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    Выполнил
    Вложения Вложения

  16. #33
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    В завершение:
    1.
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Остальные утилиты лечения и папки можно просто удалить.

    2.
    • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.

  17. #34
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    SecurityCheck.txt
    Вложения Вложения

  18. #35
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    4,209
    Вес репутации
    154
    ------------------------------- [ Windows ] -------------------------------
    Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
    Internet Explorer 10.0.9200.17609 Внимание! Скачать обновления
    Контроль учётных записей пользователя включен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
    --------------------------- [ OtherUtilities ] ----------------------------
    Microsoft Office стандартный 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
    Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
    --------------------------------- [ P2P ] ---------------------------------
    µTorrent v.3.5.5.45505 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
    ------------------------------- [ Browser ] -------------------------------
    Maxthon Cloud Browser v.4.9.4.3000 Внимание! Скачать обновления
    ^Проверьте обновления через меню О программе!^
    ---------------------------- [ UnwantedApps ] -----------------------------
    Autorun Organizer, версия 4.41 v.4.41 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
    TNod User & Password Finder v.1.6.4.0 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
    Кнопка "Яндекс" на панели задач v.2.2.0.50 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
    C:\soft\Autorun Organizer\AutorunOrganizer.exe v.0.0.0.0


    Следы двух версий антивируса:
    Kaspersky Internet Security v.20.0.14.1085
    Kaspersky Free v.20.0.14.1085

    Удалите текущий стандартно, пройдитесь утилитой, скачайте и установите заново один.

    Читайте Советы и рекомендации после лечения компьютера.

  19. #36
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.05.2020
    Сообщений
    19
    Вес репутации
    26
    не особо с антивирусом охота возиться, там просто принцип можно ставить free, потом ключом до IS повысить

  20. #37
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. \wdf10283.sys._0fc2a538715b6e8a11ac95bb79338ad379b 0c830 - Root=
        kit.Win64.Agent.bfi
        ( AVAST4: Win64:Trojan-gen )

  • Уважаемый(ая) Evgeniy35Rus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 2 из 2 Первая 12

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 31.01.2015, 14:32
    2. Ответов: 5
      Последнее сообщение: 24.10.2013, 21:46
    3. MBR сектор физ.диска
      От bushev_iv в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.06.2011, 06:55
    4. Ответов: 9
      Последнее сообщение: 26.07.2010, 08:37
    5. Ответов: 7
      Последнее сообщение: 11.04.2010, 14:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00282 seconds with 22 queries