Решена Подозрение на кейлоггены и может руткит

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Milla, 30 авг 2015.

Статус темы:
Закрыта.
  1. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    Здравствуйте
    Я сомневаюсь в чистоте моего ноутбука Toshiba, и причины такие:
    при интернет-серфинге иногда подвисает, страницы загружаются очень долго, и выдается "скрипт не может быть выполнен"

    не могу полностью просканировать систему с помощью Dr. Web CureIt, ноут начинает шуметь, кочегарится и отключается, и никогда не дает провести полное сканирование, даже если выбираю тщательную нескоростную проверку вручную, папку за папкой на диске С. Сканирую всегда в Safe Mode.

    Делаю все под уч записью Админа. Отключается всегда при сканировании папок Data and Setting, и при сканировании папки system32

    Антивирус - стоит бесплатная Авира. На антивирусе сканирование проходит до конца. Иногда находится и чистится что-то по мелочи.

    Я нахожусь за границей. Обнаружилось, что на нескольких разных кредитных картах примерно в один период были списаны небольшие суммы ($24, $29 and $29) от одного и того же "сервиса" с нахождением в др штате, не там где я живу.
    Карты всегда находятся дома и никто кроме меня не имеет к ним доступ физически, я иногда их использую для он-лайн покупок, очень нечасто, и к банковскому аккаунту также никто из др людей не привязан и доступа не имеет. Детей нет. Т.е. потеря карт и кража данных из кармана исключена.

    Как мне кажется, взяты или при ранее сделанных оплатах нечесными работниками, или при вводе паролей в онлайн-банкинги, где может быть видна инфа, или перехватывается при оплате и вводе он-лайн руткитом (?)

    Моя система - Windows 7 Pro Eng, SP1, x64

    Программы, которые могут быть непонятны в логах:
    PRO100 DEMO v.5 - для создания интерьеров
    Stamps.com - для печати лейблов для посылок
    Tencent QQ - настоящий китайский мессенджер ку-ку, загружался для общения с китайцами, уже не нужен, удаляла штатно, но вот виден еще в логах
    VUDU To Go - сервис для просмотра фильмов, официальный, типа Netflix
    Zuma Deluxe - игра аркада, примитив

    Спасибо всем откликнувшимся!
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Users\1\AppData\Roaming\UpdaterService\FSSUpdaterService.exe', '');
     QuarantineFileF('C:\Program Files (x86)\PC SpeedUp\PCSUSD.exe', '*', true, '', 0 , 0);
     QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\C52E41F.sys', '');
     QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\23B22339.sys', '');
     DeleteFile('C:\Windows\Tasks\PC SpeedUp Service Deactivator.job', '64');
     DeleteFile('C:\Windows\system32\Tasks\FSSUpdaterService', '64');
     DeleteFile('C:\Users\1\AppData\Roaming\UpdaterService\FSSUpdaterService.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator', '64');
     DeleteFileMask('C:\Program Files (x86)\PC SpeedUp\PCSUSD.exe', '*', true);
     DeleteDirectory('C:\Program Files (x86)\PC SpeedUp\PCSUSD.exe', '');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteWizard('SCU',2,3,true);
    RebootWindows(true);
    end.

     
    Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Milla нравится это.
  3. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    Спасибо за быстрый ответ
    Проведено сканирование AVZ и файл-архив уже отправлен Вам через указанную форму. AVZ был скачен с офф сайта авз (если это имеет значение)

    Прикрекпляю 2 файла AdwCleaner, это логи сканирования, №1 - с включенным антивирусом и файерволом (т.к. не было указания выгрузить защиту), и №2 - лог с отключенным антивирусом и файерволом (на всякий случай)
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    Milla нравится это.
  5. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    я должна повторно сканировать adwcleaner-ом и malwarebytes с выгруженным антивирусом и закрытыми программами или нет?
     
  6. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    adwcleaner с выгруженным антивирусом,mbam без разницы.
     
    Milla нравится это.
  7. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    прикрепляю 2 файла от adwcleaner - S4: сохранен программой сразу послу сканирования и очистки, С1: сам появился после перезагрузки

    mbam лог в .тхт, программа у меня еще открыта в своем окне, найдены 6 файлов и папок - программа спрашивает что с ними делать
     

    Вложения:

  8. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    252
    Симпатии:
    90
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве.
    Код (Text):

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{372ab9f0} (PUP.Optional.MultiPlug) -> No action taken.
    C:\Users\1\AppData\Local\CRE (PUP.Optional.ConduitTB.Gen) -> No action taken.
    C:\Users\1\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx (PUP.Optional.ConduitTB.Gen) -> No action taken.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    Сообщите, что с проблемами.
     
    Milla и Kиpилл нравится это.
  9. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    программа открыта, 3 ваши строки были отмечены и удалены
    авира сразу же выдала сообщение что ваш реест заблокирован. хотите просканировать сейчас? - я ответила нет авире

    идет второе сканирование mbam
     
  10. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    результат 2го сканирования
     

    Вложения:

  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.


    Какие то проблемы еще наблюдаются?
     
    Milla нравится это.
  12. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    спасибо,
    прикрепляю файл секьюрити чек (антивирус был включен)

    у меня там в логе видно что 3 нежелательные apps висят, как их убрать?
    --- Объединённое сообщение, 31 авг 2015, Дата первоначального сообщения: 31 авг 2015 ---
    переодически при серфинге вылазиют сообщения при скрипты, которые не могут быть исполнены
    вот сейчас закрыла скрипт
    Script: http://i.mgicinjs.info/opt_con…&ip=71.32.188.73 line 9 > eval:1
     

    Вложения:

  13. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    у меня сейчас в браузере сидит Offers4u - adware program которая видимо пришла вместе с adwcleaner и/или
    Malwarebytes. Это поп-ап окно, которое появляется и предлагает ревалентные товары и ссылки.
    Как программа в контрольной панели - я ее не вижу и не могу деинсталлировать, вижу как ads

    вот здесь по этой ссылке пишут в статье: Remove Offers4U Ads (Virus Removal Guide)

    The Offers4U infection is designed specifically to make money. It generates web traffic, collects sales leads for other dubious sites, and will display advertisements and sponsored links within your web browser.
    Offers4U it’s technically not a virus, but it does exhibit plenty of malicious traits, such as rootkit capabilities to hook deep into the operating system, browser hijacking, and in general just interfering with the user experience. The industry generally refers to it as a “PUP,” or potentially unwanted program.
     
  14. Vvvyg
    Оффлайн

    Vvvyg Ассоциация VN

    Сообщения:
    252
    Симпатии:
    90
    Если скачивали AdwCleaner и MBAM по ссылкам, которые Вам здесь давали - ничего лишнего подцепить не могли. Если вместо этого искали и далее по ссылкам "Скачать бесплатно" - всякое могло быть.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
     
  15. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    + Milla, у вас перегрев на аппарате похоже.

    Предоставьте скрин замера температур.
    А то может плохо закончиться в итоге.
     
  16. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    to Vvvyg: скачивала только строго поссылкам, никакой самодеятельности, что вы! завтра все просканирую, сейчас к сожалению ночь у нас

    to Koza Nozdri: подскажите как снять скрин замера температур? это в Task Manager?
     
  17. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    прилагаю 3 отчета после сканирования. антивирус был включен

    спасибо, что помогаете мне!

    to Koza Nozdri: думаю вы правы! область тачпода и вентилятора бывает оч горячей,
    сканировать температуры боюсь - вдруг ноут откинется?

    помогите удалить всякие гадости, плиз, и я пойду искать сервис где могут посмотреть железо.
    я не в россии сейчас, если до октября ноут не умрет - повезу домой чинить чип и т.п. !!!
     

    Вложения:

    • Addition.txt
      Размер файла:
      37,1 КБ
      Просмотров:
      3
    • FRST.txt
      Размер файла:
      60 КБ
      Просмотров:
      2
    • Shortcut.txt
      Размер файла:
      76,3 КБ
      Просмотров:
      0
    Последнее редактирование: 2 сен 2015
  18. iskander-k
    Оффлайн

    iskander-k Команда форума Супер-Модератор Ассоциация VN/VIP Преподаватель

    Сообщения:
    3.733
    Симпатии:
    3.260
    В этот момент прислоните руку к вентиляционному отверстию ноубука, обычно расположено в торцевой части слева либо в левой части в месте петли крышки и имеет вид решетчатой щели , за которыми видны металические пластинки. Если хорошо ощутимого горячего потока воздуха нет, то у вас забит теплообменник радиатора(те самые металлические пластинки) надо его чистить от набитой пыли и ворса от одежды. В 90% перегрев из-за этого как минимум через полгода использования ноутбука. В зависимости от конструкции это можно сделать самому или в сервисе.
     
    Последнее редактирование: 2 сен 2015
  19. Milla
    Оффлайн

    Milla Активный пользователь

    Сообщения:
    31
    Симпатии:
    0
    to Iskander-k: вентиляция слева, да. Поток горячего воздуха сильный, когда работает с напряжением, дует и шумит. Все же наверное чип нуждается в пасте специальном уходе рук профессионалов ... В сервис обращусь обязательно!

    как убрать Offers4U и др программки, если они есть? Какие тесты еще провести, кроме жизненно опасных, как температурный?

    спасибо
     
  20. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    GroupPolicyScripts: Group Policy detected <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-3429072821-1591228939-576740570-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    FF Plugin-x32: @qq.com/npqscall -> C:\Program Files (x86)\Common Files\Tencent\NPQSCALL\npqscall.dll [No File]
    CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\1\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-11-12]
    S3 4F973B49DD2A1752; \??\C:\Users\1\AppData\Local\Temp\206DDC94.sys [X]
    S3 4F978E00D89BA4B4; \??\C:\Users\ADMINI~1\AppData\Local\Temp\10859619.sys [X]
    S3 4F978E09B6A17DB4; \??\C:\Users\ADMINI~1\AppData\Local\Temp\E04B135.sys [X]
    S3 4F978E1B6D393872; \??\C:\Users\ADMINI~1\AppData\Local\Temp\211247DE.sys [X]
    S3 4F978E1D5DBA9312; \??\C:\Users\ADMINI~1\AppData\Local\Temp\CA6E685.sys [X]
    S3 4F978E1F4C582D72; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1356E888.sys [X]
    S3 4F978F3627F299F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1253C769.sys [X]
    S3 4F978F3761473172; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1325D135.sys [X]
    S3 4F978FDD7422FF13; \??\C:\Users\ADMINI~1\AppData\Local\Temp\CF0F9C6.sys [X]
    S3 4F97CA2F96737D13; \??\C:\Users\ADMINI~1\AppData\Local\Temp\288F2B5B.sys [X]
    S3 4F97CA44407BF3F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\C9AC6C3.sys [X]
    S3 4F97CA58FB678912; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1866597A.sys [X]
    S3 4F97CB6DDF71A8F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\23B22339.sys [X]
    S3 4F97CB7BF287B1F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\C52E41F.sys [X]
    S3 4F97CB92CA87F9F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\106F5E40.sys [X]
    S3 4F97CBF744960AD2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\22F23553.sys [X]
    S3 4F97ED30619C8C53; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1098D5B7.sys [X]
    C:\$Recycle.Bin\S-1-5-21-3429072821-1591228939-576740570-1000\$3d31b5996141b3ed18ba154606d14d87
    C:\$Recycle.Bin\S-1-5-18\$3d31b5996141b3ed18ba154606d14d87
    AlternateDataStreams: C:\ProgramData\TEMP:DF30C7A6
    EmptyTemp:
    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    WPS Office это ваше?

    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
     
Статус темы:
Закрыта.

Поделиться этой страницей