368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
1 | |
Регулярно появляются шпионы со случайными именами22.06.2010, 23:11. Показов 5904. Ответов 44
Метки нет (Все метки)
Здравствуйте! Время от времени появляются вирусы:
В системных папках на обоих жёстких дисках, причём обнаружились случайно при сканировании Авастом (регулярно обновляется) и теперь там примерно раз в пять дней вылавливается по одному вирусу с подобным названием. При вскрытии exe - шника обнаружились 4 скрипта (?) Что это могут быть за черви и откуда они берутся? Так же уже 2 раза отлавливался баннер, происывавшийся в автозагрузку. И ещё такой вопрос - при запуске Аваст нашёл батник Sh.bat, я в нём покопался - там скрытая команда, что - то делающая с обозревателем IE. Я его запустил, и он кажется его удалил) Откуда они могут взяться?
0
|
22.06.2010, 23:11 | |
Ответы с готовыми решениями:
44
Регулярно появляются бэды Gtx 970 регулярно появляются обновления Шпионы Кейлоггеры и шпионы |
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
17.07.2010, 20:55 [ТС] | 21 |
0
|
2667 / 655 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
|
|
18.07.2010, 02:19 | 22 |
Проблемы еще наблюдаются?
Подготовьте новый комплект логов (AVZ, HijackThis, RSIT). AVZ обновите до версии 4.34. Код
C:\WINDOWS\system32\vtfcolumnext.dll C:\WINDOWS\system32\VTFLib.dll C:\Program Files\Progr 6.0\MSVBVM60.DLL
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 11:23 [ТС] | 23 |
Проблемы наблюдаются. Теперь некоторые вирусы не детектируются Авастом, сегодня нашёлся ещё один. Такие дела.
Internet Explorer, между прочим, зависает почему - то, особенно при вставке ссылки на virustotal) Ссылки: vtfcolumnext.dll: https://www.virustotal.com/ru/... 1279955616 (ничего нет) VTFLib.dll: https://www.virustotal.com/ru/... 1279919322 (ничего нет) Так же был проверен один файл со случайным именем - 27 антивирусов нашли Backdoor, ссылку посеял. Логи сейчас будут... Спасибо за ответ.
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 11:54 [ТС] | 24 |
В логах нашёлся кейлоггер (C:\Program Files\Common Files\keylog.txt),
C:\WINDOWS\system32\lzzmtfr.exe - троян (https://www.virustotal.com/ru/... 1279956624), C:\WINDOWS\system32\wbwywg.exe даже проверять не стал - видно, что вирь. Так - то.
0
|
2667 / 655 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
|
|
24.07.2010, 14:45 | 25 |
c:\documents and settings\all users.windows\anyplace control 4\svcadmin.exe - утилиту удаленного администрирования устанавливали?
C:\Program Files\SchoolPak\NCD.EXE, C:\Program Files\SchoolPak\TURBOD.EXE - программы известны? Код
C:\Program Files\IM Magician\Vicamon.exe D:\Program Files\Magic Memory Optimizer\MagicMemoryOptimizer.exe D:\Program Files\Smart PC Solutions\Smart PC\SmartPCBooster.exe Пофиксить в HijackThis Код
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,userinit.exe Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код
begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\wbwywg.exe',''); QuarantineFile('C:\WINDOWS\system32\lzzmtfr.exe',''); QuarantineFile('C:\Program Files\Common Files\keylog.txt',''); DeleteFile('C:\WINDOWS\system32\wbwywg.exe'); DeleteFile('C:\WINDOWS\system32\lzzmtfr.exe'); DeleteFile('C:\Program Files\Common Files\keylog.txt'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end. Выполните после перезагрузки Код
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Проблем с безопасным режимом нет? Повторите логи HijackThis, RSIT, virusinfo_syscheck.zip
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 17:05 [ТС] | 26 |
Логи сейчас сделаю...
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 17:27 [ТС] | 27 |
Вот...
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
24.07.2010, 18:18 | 28 |
Плохого не видно.
Установите верную системную дату
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 18:59 [ТС] | 29 |
Установил) Логи повторить?
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
24.07.2010, 20:33 | 30 |
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 22:13 [ТС] | 31 |
Что ж... Поживём - увидим)
А пока - спасибо большое)
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
24.07.2010, 23:31 [ТС] | 32 |
Включил Combo Fix - внезапно - заработал. Лог вложил.
0
|
13100 / 7251 / 1535
Регистрация: 06.09.2009
Сообщений: 26,482
|
|
25.07.2010, 01:44 | 33 |
c:\windows\regedit.exe проверьте на virustotal
Ссылку на результат проверки сообщите
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
25.07.2010, 12:50 [ТС] | 34 |
http://www.virustotal.com/ru/a... 1280047513
файла regedit.exe небыло, был regedt.exe. ComboFix обнаружил в нём вирус и заменил. Редактор реестра запускается.
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
29.07.2010, 11:05 [ТС] | 35 |
В общем - то, ничего не изменилось. В папке Common Files лежит кейлоггер, в HiJackThis снова строка про userinit, где он пишет что типа будет загружать два файла. Ну я кейлог вручную удалил, удалил файлы, которые должны загрузиться и удалил строку.
Добавлено через 21 минуту Всё равно keylog.txt появляется( А я его снова удалил, создал с таким же именем и поставил атрибут "Только чтение". Терь не обновляется)))
0
|
2667 / 655 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
|
|
29.07.2010, 11:20 | 36 |
Вирусы пробираются через уязвимости в О.С. или ПО.
Сделайте новый комплект логов. После лечения создайте учетную запись с правами пользователя и старайтесь работать только в ней. Используйте учетную запись с правами администратора только в экстренных случаях. Почитайте книгу http://security-advisory.virusinfo.info/ В ней приводятся некоторые советы, которые могут поспособствовать повышению безопасности компьютера. Предупреждаю, что слепо следовать советам книги я не рекомендую. Все зависит от того, как и для каких целей используется компьютер.
0
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
29.07.2010, 12:14 [ТС] | 37 |
Насчёт новой учётной записи - что - то там не сростается. Можно, конечно, с правами пользователей помутить...
Логи выложены. Строку с userinit`ом удалил. В папке WINDOWS появилась кучка файлов - на virustotal их принимает за вирусы около двух антивирусов.
0
|
2667 / 655 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
|
|
29.07.2010, 13:51 | 38 |
Разработчик правил проектирования топологии (Product Engineer) 2000-2500$ - удалите ComboFix
Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код
begin ExecuteRepair(20); RebootWindows(true); end. Повторите только логи AVZ.
1
|
368 / 256 / 65
Регистрация: 22.06.2010
Сообщений: 1,566
|
|
29.07.2010, 14:38 [ТС] | 39 |
Базы обновил, дату поставил, ComboFix удалил.
0
|
2667 / 655 / 45
Регистрация: 13.01.2009
Сообщений: 2,159
|
|
29.07.2010, 16:14 | 40 |
c:\32788r22fwjfw\cmd.cfxxe - известно? Если не известно, тогда проверьте на http://virustotal.com/ru/ Предоставьте ссылку на результат проверки. Жмите кнопку "Повторить анализ сейчас", если будет указанно, что "Файл уже проанализирован".
На время выполнения скрипта закрыть все запущенные приложения, в особенности антивирусы и фаерволы! Запустить AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить" Код
begin DeleteFile('C:\ComboFix\catchme.sys'); BC_DeleteSvc('catchme'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Повторите virusinfo_syscheck.zip.
0
|
29.07.2010, 16:14 | |
29.07.2010, 16:14 | |
Помогаю со студенческими работами здесь
40
Шпионы Вирусы Регулярно отключается Wi-Fi Регулярно слетает ОС Регулярно повреждается БД Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |