• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на вирус/вредоносное ПО. Друзья, я слишком мнительный или есть угроза?

Статус
В этой теме нельзя размещать новые ответы.

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Привет ребята! Спасибо вам еще раз за то что вы есть! Чтобы я без вас делал?)
Итак, к теме:
Защиту моего компа обеспечивает Microsoft Security Essentials и брэндмауэр.
Иногда замечаю подозрительную загруженность процессора и притормаживания, в то время как оснований для этого обнаружено НЕ было! У меня пошли сомнения, а все ли впорядке с моим компом?
Как правило одновременно работает около 7 программ (например: iTunes, Mindjet, Skype, Firefox, Outlook, OneNote, 2ГИС) повышенная работа процессора вполне естественна, но никогда раньше я не видел нормальную загрузку своего процессора больше чем 60-70% ( Win 7, 64 bit, Lenovo ThinkPad t420s + SSD)
Желание убедится в том что с компом все в порядке меня не покидает, т.к. что-то мне плохо спится от возможного присутствия вредоносного на моем компе? Ведь на компьютере проходят финансовые операции! Вдруг Microsoft Security Essentials что-то да пропустил, хотя я ничего левого с интернета не скачиваю и на левых сайтах не сижу.

P.S. Делал все по инструкции http://safezone.cc/forum/showthread.php?t=15 Почему этого НЕТ?? >>> полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip>>> Выкладываю что есть.
 

Вложения

  • info.txt
    46.3 KB · Просмотры: 0
  • log.txt
    75.9 KB · Просмотры: 4

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую _Vladimir, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

akok

Команда форума
Администратор
Сообщения
19,412
Реакции
13,385
Баллы
2,203
Тогда.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подготовьте лог OTL
 

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Друзья, выкладываю по порядку))
Если выкладываю что-то лишнее - простите ламера:)
 

Вложения

  • avz_log.txt
    3.9 KB · Просмотры: 1
  • hijackthis.log
    18.5 KB · Просмотры: 0
  • Безымянный рисунок.png
    Безымянный рисунок.png
    20.5 KB · Просмотры: 8

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
процесс сканирования еще идет..

У меня образовались файлы: __rzi_0.282 и __rzi_0.661
что мне с ними делать??
 

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Отчет:
 

Вложения

  • MBAM-log-2013-03-15 (15-57-37).txt
    4.2 KB · Просмотры: 2

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Ура, нашел эти файлы!
 

Вложения

  • virusinfo_syscheck.zip
    43.2 KB · Просмотры: 0
  • virusinfo_syscure.zip
    44.8 KB · Просмотры: 1

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
друзья, если я забыл отключить Брандмауер(Windows FireWall) перед сканированием, мне надо что-то переделыdть????
 

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Отчет OTL:
 

Вложения

  • OTL.Txt
    252.5 KB · Просмотры: 1
  • Extras.Txt
    77.2 KB · Просмотры: 1

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Вот они, с обновленной базой
 

Вложения

  • virusinfo_syscheck.zip
    33.9 KB · Просмотры: 0
  • virusinfo_syscure.zip
    33.7 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
1.
  • Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  • В окно Custom Scans/Fixes скопируйте следующую информацию:

    Код:
    :processes
    killallprocesses
    :OTL
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_180.dll File not found
    FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
    O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O4 - HKCU..\Run: []  File not found
    O4 - HKCU..\RunOnce: [Uninstall C:\Users\Mr. George\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Mr. George\AppData\Local\Microsoft\SkyDrive\16.4.6010.0727\amd64" File not found
    O8:[b]64bit:[/b] - Extra context menu item: Скопировать эту страницу - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=1 File not found
    O8:[b]64bit:[/b] - Extra context menu item: Сохранить URL - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=0 File not found
    O8:[b]64bit:[/b] - Extra context menu item: Сохранить выделенный фрагмент - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=3 File not found
    O8 - Extra context menu item: Скопировать эту страницу - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=1 File not found
    O8 - Extra context menu item: Сохранить URL - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=0 File not found
    O8 - Extra context menu item: Сохранить выделенный фрагмент - C:\Program Files (x86)\Evernote\Evernote\\EvernoteIERes\Clip.html?clipAction=3 File not found
    O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
    O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
    O18:[b]64bit:[/b] - Protocol\Handler\solores - No CLSID value found
    O18:[b]64bit:[/b] - Protocol\Handler\wlpg - No CLSID value found
    O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
    :Files
    autorun.inf /alldrives
    recycler /alldrives
    ipconfig /flushdns /c
    :Commands
    [PURITY] 
    [EMPTYTEMP] 
    [START EXPLORER]
    [CREATERESTOREPOINT] 
    [DRIVES]
    [Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


2. Покажите содержимое файла
C:\Windows\SysWow64\TempWmicBatchFile.bat
 

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
1) Отчет OTL готов, файл вложен
Текст скрипта был скопирован и вставлен верно! После нажатия кнопки "Run Fix" компьютер НЕ перезагрузился.
>>> После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение >>> А этого я вообще НЕ нашел!

2) C:\Windows\SysWow64\TempWmicBatchFile.bat : ComputerSystem Get Username:
 

Вложения

  • OTL.Txt
    170.5 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Повторите выполнение скрипта, ...возможно OTL by OldTimer запустили не от Администратора?
 

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
От имени администратора:
 

Вложения

  • OTL.Txt
    170.5 KB · Просмотры: 1

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
Ничего не поменялось..
 

_Vladimir

Активный пользователь
Сообщения
46
Реакции
5
Баллы
398
я нажимал Run Scan, а надо было Run Fix. Это мой косяк.
Вот результаты:
 

Вложения

  • 03152013_190912.log
    10.4 KB · Просмотры: 1

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Деинсталируйте программу OTL by OldTimer, для этого запустите ее и нажмите кнопку CleanUP.
Мусор зачистили, больше ни чего я не вижу у вас.

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.
Рекомендации после лечения
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу