Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Подозрение на вирус/троян/червь (заявка № 94937)

  1. #1
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31

    Exclamation Подозрение на вирус/троян/червь

    Здравствуйте. Помогите пожалуйста разобраться. Где-то неделю назад компьютер подвергся вирусной атаке. Пролечил MBAM-ом, тот нашел 3 червя и где-то 30 троянов, еще несколько спай-программ. Потом прошелся Сureit, тот нашел троян, но не удалил, а переместил в карантин. После этого стало получше, но есть подозрения, что вылечил не всё. Потому что:

    1. Машина при работе с инетом выдает 2 приложения iexplore.exe.
    2. В task manager виден еще 1 svhost.exe, причем с пометкой Network service. Теперь таких svhost.exe в сумме 2, а раньше был 1.
    3. В task manager постоянно висит cftmon.exe. Я понимаю, что это системный файл, НО раньше его там вроде не было. Вообще в task manager очень много приложений (на 4-5 больше чем раньше при загрузке, но все файлы вроде по названиям системные).
    4. При загрузке самораспаковывающегося exe-файла система подвисла на 90% в течении 2 минут, а в task manager появился не только exe-файл с данным именем, но еще и tmp-файл с таким же именем. Причем этот tmp-файл в природе не существует (я его не нашел). После самораспаковки его на компе нет. И из мэнэджера он тоже исчез.
    5. Вообще машина немного подвисает, постоянно что-то грузит и занята на 3-4%. Раньше такого не было. При выходе из IE чуть получше, но все равно. Может это уже и аппаратное, компьютеру 4 года. Хотя вряд ли.
    6. Еще подскажите как очистить Temporary Internet Files т.к. количество их растет, но ни Spybot ни IE очистить их не могут. До заражения их было 96 (неудалямых), теперь 147 (неудаляемых). Spybot постоянно при этом ругается на кукис yadro.ru называя его Winporn-pop-up. Кукис удаляю, перезагружаюсь, вхожу в инет, проверяюсь и опять он там и опять Spybot ругается.
    Последний раз редактировалось thyrex; 05.04.2012 в 22:46.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Здравствуйте. Вы сделали лог старой версией программы - AVZ 4.34 . Скачайте последнюю версию avz, обновите базы, логи переделайте.
    Paula rhei.
    Поддержать проект можно тут

  4. #3
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от миднайт Посмотреть сообщение
    Здравствуйте. Вы сделали лог старой версией программы - AVZ 4.34 . Скачайте последнюю версию avz, обновите базы, логи переделайте.
    Сделал анализ новым AVZ и пребываю в шоке. АVZ написал, что цитирую:
    "Обратите внимание: порт 3129 UDP CoolProxy2, BackDoor.MasterParadise (c:\windows\system32\svhost.exe - опознан как безопасный процесс). Логи сейчас сделаю в отдельном письме.

  5. #4
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    При повторной проверке AVZ больше не обнаружил процесса Backdoor (что очень странно). Так что логи могут его и не содержать.... Зато он обнаружил три трояна.
    Последний раз редактировалось thyrex; 05.04.2012 в 22:46.

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\192.exe','');
     QuarantineFile('C:\WINDOWS\pss\m70tpkk6.exeStartup','');
     QuarantineFile('C:\WINDOWS\pss\hi70jfaa6m.exeStartup','');
     QuarantineFile('C:\WINDOWS\pss\0rnii6u.exeStartup','');
     DeleteFile('C:\WINDOWS\pss\0rnii6u.exeStartup');
     DeleteFile('C:\WINDOWS\pss\hi70jfaa6m.exeStartup');
     DeleteFile('C:\WINDOWS\pss\m70tpkk6.exeStartup');
     DeleteFile('C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine\192.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Скрипт выполнен. Карантин я к сожалению забыл прислать, а когда сделал лог МBAM нажал на удалить. Поэтому логи высылаю, включая МBAM, а карантин, извините, удален.
    Последний раз редактировалось thyrex; 05.04.2012 в 22:47.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Удалите в МВАМ все найденное
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от thyrex Посмотреть сообщение
    Удалите в МВАМ все найденное
    Уже удалил, я же говорю. Но меня вот что беспокоит - дополнительный svhost не исчез - см. выше.
    "порт 3129 UDP CoolProxy2, BackDoor.MasterParadise (c:\windows\system32\svhost.exe - опознан как безопасный процесс)" И это сообщение не повторяется, сколько бы я не прогонял проверку.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    Paula rhei.
    Поддержать проект можно тут

  11. #10
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от миднайт Посмотреть сообщение
    Так я же говорю, странно. Я как раз скачал новый АVZ, он после этого мне выдал эту строку (старый не видел ничего). А потом ее не выдавал при повторных прогонах. И главное, сейчас посчитал svhost'ы. Их же вроде 6 должно быть, а у меня 7 почему-то.

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для миднайт
    Регистрация
    28.03.2009
    Адрес
    Voronezh
    Сообщений
    9,571
    Вес репутации
    739
    А где логи, сделанные новой версией утилиты?
    Paula rhei.
    Поддержать проект можно тут

  13. #12
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от миднайт Посмотреть сообщение
    А где логи, сделанные новой версией утилиты?
    Вы о чем? Я же базу AVZ скачал и старую удалил? Я скачал файл avzbaze.zip и распаковал его внутрь старой AVZ.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    527
    - скачайте новую версию AVZ - 4.35

  15. #14
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от polword Посмотреть сообщение
    - скачайте новую версию AVZ - 4.35
    Все, скачал. Полностью. Вот еще два файла, у меня по файлам скоро лимит кончится.
    Последний раз редактировалось Alexkzt; 01.07.2011 в 10:59.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Плохого не видно

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от thyrex Посмотреть сообщение
    Плохого не видно
    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена
    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    А если обойтись без переустановки? Можно как-то найти то, что портит систему? Вот Spybot недавно отыскал Win32.autorun.tmp. Может и Backdoor как-то можно отловить вручную? Или может мне попробовать запустить все через уровень Администратора в безопасном режиме и там проверить все AVZ вновь? Я просто боюсь это делать, т.к. говорят, что если это червь или Backdoor то он может инфицировать и этот уровень.

    Меня терзают смутные сомнения, что проблемы вызывает хакерская/шпионская программа, которая ни червем, ни вирусом, и трояном не является, а является шпионом. Может Вы посоветуете какой-то антишпион, которым можно дополнительно проверить компьютер?

    Если не хотите отвечать, не отвечайте, все равно спасибо. И так много нашли.

    Добавлено через 46 минут

    P.S. Проверил 10 самораспаковывающихся архивов c расширением exe. Везде рядом с ними грузится другой -exe или -tmp при их загрузке и везде пауза в 2 минуты (система зависает).
    Последний раз редактировалось Alexkzt; 11.01.2011 в 23:18. Причина: Добавлено

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Alexkzt Посмотреть сообщение
    А если обойтись без переустановки?
    А вам советовали обновление системы, а не ппереустановку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    Цитата Сообщение от thyrex Посмотреть сообщение
    А вам советовали обновление системы, а не ппереустановку
    А извините. Не сразу понял.

  20. #19
    Junior Member Репутация
    Регистрация
    03.09.2009
    Сообщений
    79
    Вес репутации
    31
    А извините. Не сразу понял. Но по определенным причинам, которые я называть не буду, переустановка или любые обновления отпадают целиком.

    Я хотел задать последний вопрос. Я нашел 3 файла svchost.exe.

    1 файл в windows\system\dllcache\
    2 файл в windows\system\
    3 файл в windows\SoftwareDistribution\Download\a50daa009f8a 7e7bb00fe145d2709bd7\

    Что-то меня терзают смутные сомнения, что svchost не может находиться в 3-ей папке. Может это троян?

  21. #20
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,357
    Вес репутации
    3019
    Цитата Сообщение от Alexkzt Посмотреть сообщение
    Что-то меня терзают смутные сомнения, что svchost не может находиться в 3-ей папке. Может это троян?
    Эта папка, куда скачиваются плановые обновления для системы перед установкой. Так что может и там быть
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  • Уважаемый(ая) Alexkzt, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подозрение на троян-червь
      От crabovan в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 14.11.2010, 21:16
    2. Ответов: 5
      Последнее сообщение: 11.07.2010, 19:09
    3. Подозрение на вирус/троян
      От Cheba в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 07.04.2010, 17:32
    4. Подозрение на червь или вирус
      От chalyi в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 20.09.2009, 15:22
    5. То червь, то троян...
      От Вячеслав12 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.09.2008, 16:44

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00595 seconds with 16 queries