Решена обнаружен Win32/Sality

[VladFaun]

Доброго времени суток, вчера на ноуте были обнаружены файлы Win32/Sality программой Микрософт Секьюрити Эсеншиал и перемещены в карантин в котором я их после удалил, после чего немного узнав о даном вирусе в гугле решил просканировать ноут Dr.Web cureit ( после скана сохранил лог, как и после лечения) который обнаружил 36 зараженных файлов и угроз, после провел лечение. Сейчас опасаюсь остатков возможных вирусов и прошу Вас просмотреть лог, есть ли ещё угрозы моей системе. Так как я нахожусь можно сказать в дали от цивилизации, и возможности в случае чего заменить убитый винт или вызвать специалиста нету)) нужно максимально следить за защитой.

 

[regist]

1) Включите восстановление системы.
2) У вас используется Microsoft Security Essentials, ESET Security, Bitdefender. Как в фильме "Горец" остаться должен только один. Остальные удалите по инструкции https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
3) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
4) Сделайте свежие логи.

 

[VladFaun]

Вотс, сделал как и сказали)

 

[akok]

Что с проблемой?

 

[VladFaun]

Ну пока всё тихо) больше проблем не обнаруживалось, интересно что скажут по итогам логов.

 

[akok]

Ничего вредоносного не вижу. Вы пока понаблюдайте, а пока финальные рекомендации.

Подготовьте лог SecurityCheck by glax24

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[regist]

+ "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: Windscribe [command] = (HKCU) (2019/12/24) (no file)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Task: ASC12_PerformanceMonitor - C:\Program Files\IObit\Advanced SystemCare\Monitor.exe /Task (file missing)
O22 - Task: ASC12_SkipUac_Я - C:\Program Files\IObit\Advanced SystemCare\ASC.exe /SkipUac (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1442685127-1893001884-1650790658-1000 - C:\Users\Я\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O23 - Service S2: Служба Bitdefender Vpn - (BdVpnService) - C:\Program Files\Bitdefender\Bitdefender VPN\bdvpnservice.exe "service" (file missing)
O23 - Service S3: ESET Firewall Helper - (ekrnEpfw) - C:\Program Files\ESET\ESET Security\ekrn.exe  (file missing)

Если DNS
10.74.32.5
10.74.32.6
не знакомы и Internet Assigned Numbers Authority не ваш провайдер, то также пофиксить
"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{90286B0A-FB33-4632-9B5F-C2AC5A15CD9B}: [NameServer] = 10.74.32.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{90286B0A-FB33-4632-9B5F-C2AC5A15CD9B}: [NameServer] = 10.74.32.6

и исправить настройки DNS в роутере.

+ Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

 

[VladFaun]

профиксил, вот последние логи

 

[regist]

1) DNS вам были знакомы? Если нет, то в роутере исправили? И свежий лог Хиджака покажите.

2) У вас там целый ряд файлов был повреждён, вроде восстановило из хранилища, но надо перепроверить. Запустите ещё раз батник и на всякий случай лучше сразу рассширенную проверку и с подключённым интернетом.

3) Перепроверьте вручную, вот такой файл у вас есть?

C:\Program Files\Internet Explorer\iexplore.exe

 

[VladFaun]

Добрый вечер) Днс мой, такого ексешника нету, и свежий лог Жиджа- прикрепил)

 

[regist]

такого ексешника нету

А должен быть, не понятно почему проверка системных файлов его отсутствие не видит.

И свежие логи проверки батником после запуска расширенной проверки забыли прикрепить.

 

[VladFaun]

Доброе утро. Прошу извинить, не понял, какой программой именно нужно сделать логи после расширенной проверки? что есмь батник)?

 

[Sandor]

Скачайте этот скрипт, запустите стандартную проверку

Речь об этом, только не стандартную, а расширенную.

 

[VladFaun]

Добрый день, в общем, скачал скрипт, запустил, нажал 2 пункт расширенной проверки, мне кинуло страницу майкрософт для скачивания обновы винды, скачал- запустил- хер. Включил в настройках разрешение на обновление системы, -начало обновлять (само), без ранее скачанного обновления) ну я посмотрел, думаю -ну окей) -само знает чё ему надо); обновило), запустил опять сфк сканнау, нажал 2 пункт- хер, опять кидает на сайт с обновлением, - скачиваю) запускаю- хер, не запускается))) пишет - обновление не применимо для этого компьютера) круг замкнулся) что посоветуете дальше делать?
А дальше ещё интереснее, решил сделать последний лог автологером и перед запуском полез снимать защиту с макрософт секрьюрити, а тут - опа! старый друг, виновник торжества) скриншот в студию)
После провел проверку автологером, сделал лог сфк и вот , что скажете господа?)
А вот логCBS был некорректен внутри и почему то при заливке сюда архива постоянно писало о его большом размере..(

 

[akok]

Очень похоже на ложное срабатывание, или на старый детект. На какие файлы ругается?

 

[regist]

1) Попробуйте скачать обновление по этой ссылке и поставить http://download.microsoft.com/downl...B9C-6D8EFE7313E6/Windows6.1-KB2966583-x86.msu
2) Пару зараженных файлов добавьте в карантин по этой инструкции закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и пришлите ссылку на скачивание мне в ЛС.
3) Дополнительно cкачайте отсюда архив "UpdateClean.zip", распакуйте, запустите и выполните первый пункт. В папке со скриптом должен появиться файл "Packages.txt" - прикрепите его.

И по поводу архива с логами от батника, в архиве только лог sfcdoc.log, а у вас там рядом должен быть ещё второй.

 

[regist]

+ нажмите Windows + R -> в открывшемся окне введите iexplore.exe -> нажмите Enter. Проверьте откроется Internet Explorer?

 

[Sandor]

Информация

Часть сообщений выделены в отдельную тему.

@VladFaun, антивирус по-прежнему находит зараженные файлы?

 

[VladFaun]

Да, причем добавить его в карантин согласно инструкции не удается, + появился ещё один -вот.
Майкрософт секьюрити начал регулярно снимать сам с себя защиту, (особенно при работе с документами при открытом Word, может конечно совпадение..?), печатая данный текст, выбило 2 полных строки хаотичных букв, просто в один момент...

 

[akok]

Иобит бесполезная бесполезность, убирайте пока. Он только картину смазывает.