Решена Подозрение на вирус/вредоносное ПО. Друзья, я слишком мнительный или есть угроза?

Тема в разделе "Лечение компьютерных вирусов", создана пользователем _Vladimir, 15 мар 2013.

Статус темы:
Закрыта.
  1. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Привет ребята! Спасибо вам еще раз за то что вы есть! Чтобы я без вас делал?)
    Итак, к теме:
    Защиту моего компа обеспечивает Microsoft Security Essentials и брэндмауэр.
    Иногда замечаю подозрительную загруженность процессора и притормаживания, в то время как оснований для этого обнаружено НЕ было! У меня пошли сомнения, а все ли впорядке с моим компом?
    Как правило одновременно работает около 7 программ (например: iTunes, Mindjet, Skype, Firefox, Outlook, OneNote, 2ГИС) повышенная работа процессора вполне естественна, но никогда раньше я не видел нормальную загрузку своего процессора больше чем 60-70% ( Win 7, 64 bit, Lenovo ThinkPad t420s + SSD)
    Желание убедится в том что с компом все в порядке меня не покидает, т.к. что-то мне плохо спится от возможного присутствия вредоносного на моем компе? Ведь на компьютере проходят финансовые операции! Вдруг Microsoft Security Essentials что-то да пропустил, хотя я ничего левого с интернета не скачиваю и на левых сайтах не сижу.

    P.S. Делал все по инструкции http://safezone.cc/forum/showthread.php?t=15 Почему этого НЕТ?? >>> полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip>>> Выкладываю что есть.
     

    Вложения:

    • info.txt
      Размер файла:
      46,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      75,9 КБ
      Просмотров:
      4
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую _Vladimir, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Тогда.
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

    Подготовьте лог OTL
     
  4. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Друзья, выкладываю по порядку))
    Если выкладываю что-то лишнее - простите ламера:)
     

    Вложения:

  5. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    процесс сканирования еще идет..

    У меня образовались файлы: __rzi_0.282 и __rzi_0.661
    что мне с ними делать??
     
  6. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Отчет:
     

    Вложения:

  7. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    Если не используете Blabbers, тогда все найденное в МВАМ удалите.
    +
     
  8. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Ура, нашел эти файлы!
     

    Вложения:

  9. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    друзья, если я забыл отключить Брандмауер(Windows FireWall) перед сканированием, мне надо что-то переделыdть????
     
  10. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    Обновите базы AVZ и переделайте эти логи.
     
  11. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Отчет OTL:
     

    Вложения:

    • OTL.Txt
      Размер файла:
      252,5 КБ
      Просмотров:
      1
    • Extras.Txt
      Размер файла:
      77,2 КБ
      Просмотров:
      1
  12. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Вот они, с обновленной базой
     

    Вложения:

  13. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    1.
    • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    • В окно Custom Scans/Fixes скопируйте следующую информацию:

      Код (Text):
      :processes
      killallprocesses
      :OTL
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
      FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
      FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
      FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
      O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O4 - HKCU..\Run: []  File not found
      O4 - HKCU..\RunOnce: [Uninstall C:\Users\Mr. George\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Mr. George\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64" File not found
      O8:[b]64bit:[/b] - Extra context menu item: Скопировать эту страницу - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=1 File not found
      O8:[b]64bit:[/b] - Extra context menu item: Сохранить URL - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=0 File not found
      O8:[b]64bit:[/b] - Extra context menu item: Сохранить выделенный фрагмент - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=3 File not found
      O8 - Extra context menu item: Скопировать эту страницу - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=1 File not found
      O8 - Extra context menu item: Сохранить URL - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=0 File not found
      O8 - Extra context menu item: Сохранить выделенный фрагмент - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=3 File not found
      O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\solores - No CLSID value found
      O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
      O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
      :Files
      autorun.inf /alldrives
      recycler /alldrives
      ipconfig /flushdns /c
      :Commands
      [PURITY]
      [EMPTYTEMP]
      [START EXPLORER]
      [CREATERESTOREPOINT]
      [DRIVES]
      [Reboot]
    • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
    • Компьютер перезагрузится.
    • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


    2. Покажите содержимое файла
     
  14. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    1) Отчет OTL готов, файл вложен
    Текст скрипта был скопирован и вставлен верно! После нажатия кнопки "Run Fix" компьютер НЕ перезагрузился.
    >>> После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение >>> А этого я вообще НЕ нашел!

    2) C:\Windows\SysWow64\TempWmicBatchFile.bat : ComputerSystem Get Username:
     

    Вложения:

    • OTL.Txt
      Размер файла:
      170,5 КБ
      Просмотров:
      1
  15. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    Повторите выполнение скрипта, ...возможно OTL by OldTimer запустили не от Администратора?
     
  16. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    От имени администратора:
     

    Вложения:

    • OTL.Txt
      Размер файла:
      170,5 КБ
      Просмотров:
      1
  17. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    Ничего не поменялось..
     
  18. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    кнопку эту нажимаете?
     
  19. _Vladimir
    Оффлайн

    _Vladimir Активный пользователь

    Сообщения:
    46
    Симпатии:
    10
    я нажимал Run Scan, а надо было Run Fix. Это мой косяк.
    Вот результаты:
     

    Вложения:

  20. shestale
    Оффлайн

    shestale Ассоциация VN/VIP Преподаватель

    Сообщения:
    8.014
    Симпатии:
    4.474
    Деинсталируйте программу OTL by OldTimer, для этого запустите ее и нажмите кнопку CleanUP.
    Мусор зачистили, больше ни чего я не вижу у вас.

    Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
    Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.
    Рекомендации после лечения
     
Статус темы:
Закрыта.

Поделиться этой страницей