Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.58/12: Рейтинг темы: голосов - 12, средняя оценка - 4.58
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
1

C:\Users\Public вирус

03.12.2014, 20:03. Просмотров 2221. Ответов 47
Метки нет (Все метки)

Добрый вечер!

Такая тема уже была. В папке C:\Users\Public создаются файлы, которые обнаруживает как вирус AVG, MSE.
На одном из форумов ничем не смогли мне помочь. Здесь на этом форуме есть ветка Вирус в папке C:\Users\Public
в которой не понятно, то ли Avast вылечил, то ли здесь помогли.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
03.12.2014, 20:03
Ответы с готовыми решениями:

Вирус в папке C:\Users\Public
Антивирус Avast free пропустил в систему какой-то странный и хитрый вирус,...

Вирус. Last version for Google Chrome users
https://yadi.sk/d/Wle2hCDuqUdYR логи Спасибо)

Вирус Last Version for Google Chrome users
Регулярно вылазит окно блокирующее все с загрузкой каких то обновлений для...

Вирус в папке Public
Во всех папках которые находятся - C:\Users\Public ( \Общие изображения, \Общие...

Вирус "last version for google chrome users"
Добрый день. в Chrome (также при запуске некоторых приложений) периодически...

47
shestale
Вирусоборец
8589 / 4162 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
04.12.2014, 08:03 2
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 11:28  [ТС] 3
Добрый день!

Логи прикреплены.

Также картинка с логом Avg - сегодня вирус сработал.

Сейчас ПК физически не в сети (всего два компьютера), т.е. вирус не в сети.
С вероятностью 95 процентов вирус срабатываем при подключенном интернете. Сегодня при активации вируса точно был входящий трафик.

Удалось во время активизации вируса запустить программу ProcessMonitor. Имеются логи минут за 10-15 работы вируса. Он большой - после архивации будет 200-300 Мб. Приложен скан лога, где создается файл вируса.
0
Миниатюры
C:\Users\Public вирус   C:\Users\Public вирус  
Вложения
Тип файла: zip CollectionLog-2014.12.04-11.17.zip (78.7 Кб, 6 просмотров)
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 11:43 4
Здравствуйте!

У вас установлена Malwarebytes Anti-Malware. Покажите ее лог полного сканирования.

Добавлено через 1 минуту
На C:\Users и D:\ у вас открыт общий доступ.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 13:22  [ТС] 5
Лог mbam приложен.
Ребята, я уже устал сканировать, ничего путного ни разу не нашел.
Daemon Tools Lite только вчера поставил, а вирус уже пару месяцев.
Диск Д я сам расшарил - туда доступ с другого ПК (он сейчас физически отключен).
Диск С на самом деле я вчера обнаружил, что расшарен, но пока не стал закрывать - пусть вирус уж в известном мне месте колбасит.
А логи ProcessMonitor вам ничем не помогут?
0
Вложения
Тип файла: txt mbamlog.txt (1.3 Кб, 4 просмотров)
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 13:27 6
В этой системе чисто. Вероятно вредонос лезет через шару с другой системы.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 13:42  [ТС] 7
Что вы имеете ввиду под другой системой? Этот компьютер не в сети. Только выход в интернет
0
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 13:52 8
Цитата Сообщение от natan247 Посмотреть сообщение
туда доступ с другого ПК
Это ваши слова?
0
shestale
Вирусоборец
8589 / 4162 / 329
Регистрация: 22.02.2011
Сообщений: 13,731
04.12.2014, 13:58 9
+
D:\Bs\copy.bat
файл вам знаком?
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 14:28  [ТС] 10
Пожалуйста, из контекста не выдирайте слова. "туда доступ с другого ПК (он сейчас физически отключен)".
Другой ПК физически отключен, а вирус активен.

Этот файл мне отлично знаком. Ко второму ПК он не имеет совершенно никакого отношения.
Еще раз спрошу -
Что вы имеете ввиду под другой системой?
И еще раз уточню -
Этот компьютер не в сети. Только выход в интернет.
Вирус активен.
0
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 14:33 11
О том, что второй ПК отключен вы написали после того, как выложили скрины. Вот я и предположил, что в это время он (второй ПК) был подключен. Это не так?

Цитата Сообщение от natan247 Посмотреть сообщение
программу ProcessMonitor
Выложите на rghost.ru и дайте ссылку на скачивание.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 14:46  [ТС] 12
Не совсем так. Я выложил скрины, указав в этом же посту, что второй пк "Сейчас ПК физически не в сети".
Логи ProcessMonitor буду закачивать (интернет не быстрый), ссылку выложу.
0
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 14:49 13
Хорошо. После этого дополнительно подготовьте лог uVS.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 14:54  [ТС] 14
rghost.ru похоже не позволит такой объем закачать 200-300 мб.
mail.ru файлообменник могу залить. Годится?
0
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 14:56 15
Годится.
Общий доступ все же закройте и понаблюдайте.
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 16:35  [ТС] 16
Ссылка на логи ProcessMonitor. 150 Мб.
https://cloud.mail.ru/public/4e4d54b0273f/ProcessMonitor_Logfile.7z

Программу ProcessMonitor запустил после того как вирус активировался.
Минут 10-15 антивирусник убивал образующиеся файлы, при этом был довольно активный интернет-трафик. Затем интернет я отключил.

Лог uVS прикреплен.

Общий доступ c:\Users\ закрыл.
0
Вложения
Тип файла: 7z Z1_2014-12-04_15-29-58.7z (473.5 Кб, 2 просмотров)
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 16:44 17
Цитата Сообщение от natan247 Посмотреть сообщение
Общий доступ c:\Users\ закрыл.
После этого ваш антивирус находит что-нибудь?
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
04.12.2014, 17:03  [ТС] 18
Вирус активируется нечасто. 2 раза в день по-моему никогда не было. 1 раз в 1-2 дня (несколько дней.) Интернет подключен целый день каждый день. И узнать, пришибли вирус или нет, я никак не могу. И спровоцировать активацию вируса я никак не могу. И нет никаких событий, привязанных к активации вируса. Часто бывает, что он активируется, когда никакой активности совершенно нет, н-р, я ушел куда-нибудь на час-два, прихожу - антивирусник ругается.
0
Sandor
Вирусоборец
13013 / 11262 / 1729
Регистрация: 08.10.2012
Сообщений: 45,503
04.12.2014, 17:06 19
Сделаем так. Проверьте и закройте потенциальные уязвимости (скрипт ниже), сделайте полную проверку системы антивирусом и понаблюдайте.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Рекомендации после удаления вредоносного ПО
0
natan247
0 / 0 / 0
Регистрация: 03.12.2014
Сообщений: 24
05.12.2014, 14:54  [ТС] 20
Лог AVZ

Поиск критических уязвимостей
Несанкционированные цифровые сертификаты делают возможным подмену содержимого
http://download.microsoft.com/downlo...718704-x86.msu

Обнаружено уязвимостей: 1


При попытке установить это обновление система выдает сообщение, что "данное обновление не применимо к этому компьютеру".

Ранее после работы AVZ я уже установил обновления, поэтому Avz сейчас ничего не выдал. После этого вирус все равно активность проявлял.

Антивирусник запущу на полную проверку. В случае обнаружения чего-либо отпишусь.

Добавлено через 21 час 3 минуты
Sandor, добрый день!

Хотел уточнить, по моей теме что-нибудь делается?
0
05.12.2014, 14:54
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
05.12.2014, 14:54

Last version for google chrome users
Доброго утра! Поймал какую то хрень, думаю это вирус, чистил и службы запуска...

Last version for google chrome users + целый мартовский букет
Добрый день. Исходя из название темы, в общем-то понятно - довольно часто...

Svchost32.exe в папке C:\Documents and Settings\All Users\Application Data
Обнаружил svchost32.exe в папке C:\Documents and Settings\All Users\Application...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru