3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
1 | |
Подозрение на шпионского червя на компе. Что делать, как удалить?21.11.2013, 18:43. Показов 2200. Ответов 13
Метки нет (Все метки)
Есть подозрение, что весь мой трафик слушают. В частности личку в скайпе и вконтакте, а возможно вообще весь трафик, который идёт через браузер и прочие аськи. Я параноик да, прямых доказательств у меня нет, только косвенные. И да я идиот, один раз тыкнул по нехорошей ссылке (с год назад и с тех пор подозрение на червя) у одной барышни, а она была уличена потом в сталкинге. Надо установить есть ли червь и удалить, первое даже важнее. )
Добавлено через 4 минуты И да я искал разными утилитами червя и не нашёл Malwarebytes, Spybot, Cure It и avz, ничего не нашёл; и такой момент - если сидеть через VPN, то косвенное доказательство прекращается - сталкинг.
0
|
21.11.2013, 18:43 | |
Ответы с готовыми решениями:
13
Как удалить червя Win32/Dorkbot как удалить червя Hidden object??? Как удалить червя Win.32.Kido Пропал звук на компе,что делать? |
21562 / 15512 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
21.11.2013, 18:46 | 2 |
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
21.11.2013, 19:04 [ТС] | 3 |
Вот логи
0
|
21562 / 15512 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
22.11.2013, 10:22 | 4 |
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ____________________________________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт)(будьте внимательны, скрипт длинный, порядковые номера не копируйте): Код
{Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cisDF9.exe',''); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cisDF9.exe'); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Повторите комплект логов по правилам.
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
22.11.2013, 12:00 [ТС] | 5 |
Скрипт выполнил. Логи ещё раз сделал:
0
|
21562 / 15512 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
22.11.2013, 12:16 | 6 |
Уже значительно лучше))
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cisDF9.exe',''); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\cisDF9.exe'); DeleteFile('C:\WINDOWS\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end. Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Что с проблемой?
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
22.11.2013, 12:51 [ТС] | 7 |
Спасибо. Пока не могу сказать что проблема точно решена, но браузеры стали работать значительно быстрее. (А после выполнения второго скрипта - комп самопроизвольно пару раз переподключился к роутеру) Отправил вам файл карантина с гуглопочты. Надо подождать от двух до семи дней. Если ситуация повторится - скажу, если нет - значит всё прошло успешно и проблема решена. Спасибо вам огромное у меня теперь инет снова шустро бегает, как это круто!
0
|
21562 / 15512 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
22.11.2013, 12:56 | 8 |
Хорошо, подождем.
Пока закройте уязвимости: -------------Windows------------------------------ Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления Даже если им не пользуетесь, обновите обязательно. -------------AdobeProduction---------------------- Adobe Flash Player 11 Plugin v.11.9.900.117 Внимание! Скачать обновления Соблюдайте рекомендации: Рекомендации после удаления вредоносного ПО
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
22.11.2013, 13:07 [ТС] | 9 |
Хорошо. Сегодня всё сделаю.
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
23.11.2013, 16:55 [ТС] | 10 |
Пока всё хорошо, тишина и покой. Ещё позже точнее скажу)
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
28.11.2013, 17:26 [ТС] | 11 |
Вроде полностью прошло. Так всё же там что-то было? Червь?
0
|
21562 / 15512 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
28.11.2013, 17:37 | 12 |
Хорошо.
В карантин вредонос не попал. Мы исправили в системе следы его деятельности.
0
|
3 / 3 / 0
Регистрация: 21.11.2013
Сообщений: 25
|
|
28.11.2013, 17:49 [ТС] | 13 |
О как. Спасибо, доктор, вы мне очень помогли )
1
|
21562 / 15512 / 2989
Регистрация: 08.10.2012
Сообщений: 63,069
|
|
05.02.2014, 16:45 | 14 |
дел.
0
|
05.02.2014, 16:45 | |
05.02.2014, 16:45 | |
Помогаю со студенческими работами здесь
14
Звука нет на компе, что делать? Купил новый ноутбук, игры лагают сильнее чем на старом компе, что делать? Есть подозрение на вирус на компе как удалить вторую ос на компе? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |