Решена Штатный антивирус ничего не находит

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Александр11, 11 июн 2015.

Статус темы:
Закрыта.
  1. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    В работе компьютера наблюдается ряд странностей, однако установленный на нем антивирус Аваст вирусов не обнаруживает, даже если проводится сканирование при загрузке системы. К числу этих странностей относится во-первых регулярно наблюдающаяся крайне медленная работа всех приложений, притом, что в диспетчере задач не отражается сколь-нибудь существенной загрузки процессора или использования памяти ни одним из приложений. Во-вторых, ежемесячное средство удаления вредоносных программ от Microsoft, по крайней мере с марта, не устанавливается нормально - появляется сообщение о наличии обновлений - это средство удаления вредоносных программ, я выбираю загрузку обновлений - вроде нормально загружается, затем выбираю автоматическую установку обновлений - вроде бы она начинается, а при следующей загрузке системы опять появляется сообщение о наличии того же самого обновления, т.е. оно не установилось. Ну и самое подозрительное: при просмотре истории посещений сайтов в моем браузере, выбираемом по умолчанию (12-я Опера) наблюдается множество посещений фейсбука, на котором я не зарегистрирован и куда никогда не захожу.
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    ComboFix для чего запускали? :Big Boss: Прикрепите его лог.

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  3. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    1. ComboFix пользовался, наверное, года два назад - лечил компьютер при помощи специалистов с другого сайта, оказывающего аналогичную помощь. Так что свежих логов нет.
    2. Архив с карантином загрузил; MD5: 7AE038269F60937ECA1AC6DCC1F893CB
    3. При работе AVZ заметил такой момент: в окошке "Протокол" в процессе работы промелькнула строчка с номером 6 "Поиск открытых портов TCP/UDP, используемых вредоносными програмами" и ниже было указано "Проверка отключена пользователем", хотя я, разумеется, ничего не отменял (да и не знаю как это сделать). Насколько это нормально?
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.


    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

    [​IMG]

    Скачайте OTCleanIt, запустите, нажмите Clean up.
     
  5. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Все действия выполнил. При попытке удалить команду на удаление ComboFix файл не был найден. (Насколько я помню, в прошлый раз после лечения ComboFix я его удалял, даже и не думал, что остались какие-то следы.) Надеюсь, OTCleanI удалил то, что от него оставалось.

    P.S. После очистки с помощью AdwCleaner в истории браузера все равно наблюдаются странные попытки посещения сайта фейсбука.
     

    Вложения:

    Последнее редактирование: 13 июн 2015
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
  7. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Удалил.
    Скачал новую Оперу (сейчас выхожу в интернет из нее) за первые четыре минуты работы - три обращения к сайту фейсбук! Кстати, вспомнил, что обычно после закрытия окна Оперы и исчезновения всех внешних признаков работы этой программы, в диспетчере задач процесс сохраняется долгое время и расходует достаточно много памяти.
     
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    поясните подробней.
     
  9. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Я толлько установил новую Оперу - прошло всего несколько минут, успел зайти только на мейл.ру и на ваш сайт. Затем посмотрел историю в браузере - кроме этих сайтов оказывается несколько раз посещался сайт фейсбука (я уже писал ранее, что непонятно что с моего компьютера постоянно заходит на фейсбук). А когда браузер закрыт - этой странной активности нет.
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Загрузитесь в безопасный режим с поддержкой сети и проверьте будет ли в нём эта проблема в этой портативной Опере.
     
  11. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    В безопасном режиме в новой Опере ни одного нового посещения фейсбука.

    Ну вот, подождал еще 10 минут и обнаружил три новых посещения этого сайта (из безопасного режима не выходил).
     
    Последнее редактирование: 13 июн 2015
  12. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Из папки этой Оперы заархивируйте и прикрепите сюда файл \profile\global_history.dat
     
  13. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Прикрепил.
     

    Вложения:

  14. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Александр11, как и предпологал. Вирусного ничего нет, а эти записи появляются из-за посещения других сайтов. В том числе и здесь стоят кнопки для лайков в соц. сетях (просто у меня они заблокированы и я их никогда не вижу). В общем вот напримере одной из выших ссылок
    HTML:
    http://www.facebook.com/v2.0/plugins/like.php?action=like&app_id=250486568345578&channel=http%3A%2F%2Fstatic.ak.facebook.com%2Fconnect%2Fxd_arbiter%2F1ldYU13brY_.js%3Fversion%3D41%23cb%3Df35ce18f1c5f81%26domain%3Dsafezone.cc%26origin%3Dhttp%253A%252F%252Fsafezone.cc%252Ff331a8ca136dbc%26relation%3Dparent.parent&color_scheme=light&container_width=0&href=http%3A%2F%2Fsafezone.cc%2Fthreads%2Fshtatnyj-antivirus-nichego-ne-naxodit.25611%2F&layout=standard&locale=ru_RU&sdk=joey&show_faces=true&width=400
    Возьмём отсюда последнюю часть ссылки
    HTML:
    href=http%3A%2F%2Fsafezone.cc%2Fthreads%2Fshtatnyj-antivirus-nichego-ne-naxodit.25611%2F&layout=standard&locale=ru_RU&sdk=joey&show_faces=true&width=400
    почистим от мусора, получим
    HTML:
    http://safezone.cc/threads/shtatnyj-antivirus-nichego-ne-naxodit.25611/&layout=standard&locale=ru_RU&sdk=joey&show_faces=true&width=400
    в итоге получили ссылку на вашу тему :).

    ----------------------
    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
    LogPath := GetAVZDirectory + 'log\avz_log.txt';
    if FileExists(LogPath) Then DeleteFile(LogPath);
    ScriptPath := GetAVZDirectory +'ScanVuln.txt';

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
    ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
    exit;
    end;
    end;
    if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
  15. Александр11
    Оффлайн

    Александр11 Новый пользователь

    Сообщения:
    8
    Симпатии:
    0
    Спасибо, что находите время возиться с такими чайниками как я.
    В появившемся логе было сследующее:

    Накопительное обновление безопасности для браузера Internet Explorer
    https://cloud.mail.ru/public/84f1304e1c7c/X86-ru-ie8-windowsxp-kb2977629.exe

    Установите Adobe Acrobat XI или удалите старый

    Обнаружено уязвимостей: 2

    По поводу первого пункта хотелось бы уточнить: мне надо скачать по ссылке приложение и запустить?
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    да.
     
Статус темы:
Закрыта.

Поделиться этой страницей