Закрыто Помогите наладить безопасность системы.

Тема в разделе "Лечение компьютерных вирусов", создана пользователем RAS9000, 28 авг 2015.

Статус темы:
Закрыта.
  1. RAS9000
    Оффлайн

    RAS9000 Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    Здравствуйте. Сразу хочу сказать, что сети из компьютеров у меня нет, прокси не настроен. Расскажу по порядку. Странности с системой заметил 16 августа.У меня установлен антивирус Нортон 360. Журнал безопасности стал фиксировать некое соединение: software loopback interface, пишет "защита подключения к новой обнаруженной сети software loopback interface 1 IP 127.0.0.1. Ранее этого не было. Подскажите пожалуйста что это за соединение и несет ли оно в себе потенциальный риск? Далее. Сделал образа автозапуска системы с помощью антивирусной утилиты uVS. Во время анализа программа обнаружила доп. поток в uVS: поток не принадлежит загруженным библиотекам, внедренные модули в том числе в штатный антивирус Нортон 360, неизвестные загрузчики. Сканировал также АВЗ. По результатам сканирования АВЗ в том числе выдала следующее:

    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику

    Покопался на сайте Вирусинфо, нашел тему со схожей проблемой http://virusinfo.info/showthread.php?t=12670, выполнил найденный скрипт, отключил доступ анонимного пользователя. Но возникает вопрос как такое вообще появилось? Ведь как я говорил, у меня нет сети из компьютеров. И что делать, как отключить остальные потенциально опасные службы? Далее. Сканировал программами HitmanPro, Malwarebytes и Emsisoft Anti-Malware - Malwarebytes обнаружила 280 разновидностей pup.optional. Удалил их. Когда все это началось, установил дополнительно Комодо Фаервол. Решил им просканировать. Внимание обратил на те файлы которые появились недавно. Хотя они и имели доверительную репутацию, обнаружил странное. В комодо фаервол, когда прошло сканирование можно щелкнуть по выбранному файлу и откроются его свойства. Во вкладке безопасность перечислены группы и пользователи так вот кроме известных, есть какой то S-1-15-2-1. Просмотрел, в реестре такого пользователя нет. Еще заметил странное после установки фаервола, у меня установлен браузер опера, я им обычно пользуюсь, так вот иногда идет скачка (мегабайтами) в то время как я ничего не качаю. Я прерываю эти соединения. На работе браузера никак не сказывается. Сканировал систему ТДС Киллером Касперского, - ничего не обнаружил. А вот Vba32 AntiRootkit нашел подозрительные файлы как я понимаю, но удалить я их не смог, функция удаления почему то заблокирована в программе. Лог могу выслать. Сканировал также ГМЕРом, могу выслать полный лог.
    Сегодня наткнулся на еще один сканер, просканировал им он обнаружил кучу вредоносных программ, но насколько я понимаю не особо опасных, но удалить он их отказался, требует регистрации и денег. Вот что обнаружил сканер SpyHunter 4 (причем надо заметить другие сканеры пропустили заразу):
    1.Rogue.Spy Pritector
    2.Certified-Toolbar.com
    3.Elex Hijacer
    4.sweet-pages.com
    5.adtech (spyware cooke)
    6.adware.NetCrawl
    7.adware.SpadeCast
    8.adware.Zapp
    9.Atlas DMT (spyware cooke)
    10.Media (Tracking cookies)
    11.PUP. Highlightly
    12.PUP.HomeTab
    Какой другой программой их можно удалить?
    И еще, просматривая папку Users, обнаружил папку некого пользователя с ромбиками и вопросами вместо имени. Помогите пожалуйста наладить безопасность системы. Заранее большое спасибо.
     

    Вложения:

  2. RAS9000
    Оффлайн

    RAS9000 Новый пользователь

    Сообщения:
    14
    Симпатии:
    0
    P.S. Продолжая эксперементировать с антивирусами обнаружил сейчас с помощью антивируса SecureAnywhere W32.Trojan.Agent.Gen файл ute3otkx.sys в виндовс, систем32, драйверс. Вопросы остаются в силе.
    --- Объединённое сообщение, 29 авг 2015, Дата первоначального сообщения: 28 авг 2015 ---
    Да и еще. После удаления этого трояна программа SecureAnywhere перестала по нормальному работать, после перезагрузки. Также снесло Комодо Фаервол. Повторно пытался его установить, не получается.
    --- Объединённое сообщение, 29 авг 2015 ---
    Какое то время отсутствовал доступ к интернету.
     
    Последнее редактирование: 29 авг 2015
  3. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.217
    Симпатии:
    4.978
    RAS9000, завязывайте с экспериментами пока система еще жива.
    Далее удалите все антивирусные продукты и сканеры,оставьте только один!
    Чистка системы после некорректного удаления антивируса


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
Статус темы:
Закрыта.

Поделиться этой страницей