Решена Подозрение на заражение.

Статус
В этой теме нельзя размещать новые ответы.

zerikua

Пользователь
Сообщения
34
Реакции
16
Подозрение на заражение.
 

Вложения

  • CollectionLog-2014.11.16-22.57.zip
    75.2 KB · Просмотры: 4

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
В чем заключается подозрение?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве
 

zerikua

Пользователь
Сообщения
34
Реакции
16
В чем заключается подозрение?
Здравствуйте, после некоторого времени работы ОС начинается явное проседание производительности, так же некоторое время тому я самостоятельно проводил поиск и лечение системы по средствам HitmanPro и mbam, возможно на компьютере все ещё присутствуют следы остаточного заражения.
 

Вложения

  • log.txt
    1.4 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Не вижу ничего интересного. Подготовь лог AdwCleaner. Какой софт устанавливался до возникновения проблемы?
 

zerikua

Пользователь
Сообщения
34
Реакции
16
да вроде кроме нового .net и обновлений ничего не ставил.
 

Вложения

  • AdwCleaner[R1].txt
    3 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Что используешь?

Код:
Папка Найдено : C:\Program Files (x86)\globalUpdate
Папка Найдено : C:\Users\Public\Documents\Goobzo
Папка Найдено : C:\Users\Public\Documents\ShopperPro
Папка Найдено : C:\Users\Public\Documents\YTAHelper
Папка Найдено : C:\Users\user32\AppData\Local\CrashRpt
Папка Найдено : C:\Users\user32\AppData\Local\globalUpdate

Если не используешь, удаляй.

Отбой, насчет интересного, нашел
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user32\AppData\Roaming\RFPHHU.exe','');
 QuarantineFile('C:\Users\user32\AppData\Roaming\OTP.exe','');
 DeleteFile('C:\Users\user32\AppData\Roaming\OTP.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\OTP.job','64');
 DeleteFile('C:\Users\user32\AppData\Roaming\RFPHHU.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\RFPHHU.job','64');
 BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы


Посмотри, что с проблемами.
 

zerikua

Пользователь
Сообщения
34
Реакции
16
отправил, то что не использую удалил, а это все из вышеуказанного списка.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Наблюдаем за проблемами, и подготовь свежий лог автологера.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Что с проблемами?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Подготовьте лог SecurityCheck by glax24 и устраните найденные недостатки.

Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

zerikua

Пользователь
Сообщения
34
Реакции
16
Код:
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 17.11.2014 23:07:29
Run directory: C:\Users\user32\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: [b]False[/b]
FileVersionInet: 8.3
__________________________________________________

Windows 8.1 (6.3.9200)  (x64) Professional Lang: Russian(0419)
Дата установки ОС: 30.05.2014 08:20:33
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 251533 мин.
Системный диск: C:\ ФС: NTFS Емкость: [97.6 Гб] Занято: [57.6 Гб] Свободно: [40 Гб]
Браузер по умолчанию: C:\WINDOWS\system32\OpenWith.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.17416
Контроль учётных записей пользователя [b]включен[/b]
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-11-17 16:10:59
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Windows Defender
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
CCleaner v.5.0
AVZ 4.43 + HijackThis + RSIT + GMER
-------------Java---------------------------------
Java 8 Update 25 (64-bit) v.8.0.250
Java 8 Update 25 v.8.0.250
Java Auto Updater v.2.8.25.18
-------------AdobeProduction----------------------
Adobe Flash Player 15 Plugin v.15.0.0.223
-------------Browser------------------------------
Google Chrome v.39.0.2171.62 [b][+][/b]
-------------EmailClient--------------------------
Mozilla Thunderbird 31.2.0 (x86 ru) v.31.2.0
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.39.0.2171.62
-------------EndLog-------------------------------

так же выложил автокарантин http://safezone.cc/threads/sotrudnichestvo-safezone-i-razrabotchika-avz.22659/
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Будут проблемы, обращайся.
 

zerikua

Пользователь
Сообщения
34
Реакции
16
Будут проблемы, обращайся.
Проблему мы так и не выявили, а я тут чутка покопался и нашел процесс который приводит к торможению системы... теперь нужно корректно вылечить мою систему.

если этот процесс запущен во всех играх страшно падает ФПС, даже если эти игры напрямую связаны с валидным Стим процессом... если этот процесс убить, то файл пропадает из папки с которой он стартовал.
 

Вложения

  • Безымянный.png
    Безымянный.png
    68.4 KB · Просмотры: 38
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,374
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Users\user32\AppData\Roaming\.mono\Reversed', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
DeleteFileMask('C:\Users\user32\AppData\Roaming\.mono\Reversed', '*', true);
DeleteDirectory('C:\Users\user32\AppData\Roaming\.mono\Reversed');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

zerikua

Пользователь
Сообщения
34
Реакции
16

Вложения

  • CollectionLog-2014.11.19-21.12.zip
    107.1 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Что с проблемой?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,416
Реакции
13,903
Тогда тему отмечаю решенной
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу