Решена Security Protection/defender.exe

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Wu-Tang, 1 сен 2011.

Статус темы:
Закрыта.
  1. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Ездил к другу с жалобой на такую штуку:
    Вот нашел кое-что нашел в гугле.
    [​IMG]
    В обычном режиме ничего не дает сделать, в safe mode нормально.
    Селится в allusers\appdata, как defender.exe и в реестре, в автозагрузке, больше нигде нет, все это зачищаю, нормально.
    На следующий день человек звонит, мол опять, и так второй раз уже.
    В avz все чисто.
    Откуда он может появляться опять?
     
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Без логов сказать что-то определенное трудно
     
  3. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    thyrex,
    Вот я сегодня поеду к нему, что сделать нужно тогда?
     
  4. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Это мошеннических (rogue) антивирусных программ..!:)

    1.Перезагрузите компьютер в безопасном режиме с поддержкой сети (Safe Mode with Networking.)

    1.Выполните следующие: Как использовать RKill by Grinler

    2.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
     
  5. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    icotonev,
    А сам смогу в этом логе разобраться? Попробую, конечно, но прикреплю все равно...

    Добавлено через 5 часов 42 минуты 1 секунду
    Сегодня не получилось, завтра поеду, а на что смотреть в логе?
     
  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    Нам сбросьте. Мы сами посмотрим
     
  7. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Вот начал сканировать, минут 20 думаю будет идти.
    Есть кто-н кто посмотрит?
     
  8. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Вот:
     

    Вложения:

  9. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Удалите в MBAM все, кроме:

    Код (Text):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
    d:\Windows\Setup\SCRIPTS\data\bootinst.exe (Malware.Packer.Gen) -> No action taken.
    Потом подготовьте логи по правилам
     
  10. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Severnyj,
    Вот такой лог нужен:
     
  11. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Да конечно, все, что написано в правилах, то и выполняйте
     
  12. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Вот:
    Я ничего подозрительного уже не вижу. :facepalm:
     

    Вложения:

  13. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Без лога RSIT сложно сказать, мне не нравиться вот это:

    Запишите ваши сетевые настройки, востпользуйтесь утилитой Winsockxpfix

    - данная утилита исправит данные ошибки, но сбросит все настройки сетевых устройств по умолчанию.

    Или воспользуйтесь данной статьей на сайте Microsoft
     
  14. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Severnyj,
    Аааа, да эту ошибку avz постоянно выдает, даже когда чистая ось.
    Может потому что я патчил tcpip.sys?
     
  15. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Severnyj,
    А так все порядке, не считая этого?
     
  16. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    Внимание! Смените все пароли ICQ, Контакт, Почта итд

    Необходимо очистить ранее созданную точку восстановления и создать новую:
    1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
    2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


    Для предотвращения заражения рекомендуется:
    - не работать за компьютером с правами администратора
    - не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
    - регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

    Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:

    Adobe Flash Player
    Adobe Reader
    Java

    и проч.

    Так кроме нарушений в Winsock ничего подозрительного.
     
  17. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    А что это могло отразиться на паролях?

    А оно у меня вовсе отключено изначально, тк толку от него 0.

    Даже они могут быть причиной заражения? :eek:

    Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?

    Ну вот столько времени уже не появляется, как друг сказал, значит все зачищено.
    Спасибо за помощь!
     
  18. Severnyj
    Онлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.840
    Симпатии:
    8.594
    А Вы уверены, что данный зловред не вел за Вами слежку?

    Конечно, советую посетить: http://www.securitylab.ru/vulnerability/

    Скорее MBAM!
     
  19. Wu-Tang
    Оффлайн

    Wu-Tang Эксперт клуба THG

    Сообщения:
    88
    Симпатии:
    49
    Нет, не уверен, поэтому и спросил. :)
    Спасибо.
     
Статус темы:
Закрыта.

Поделиться этой страницей