• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Подозрение на заражение.

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#2
В чем заключается подозрение?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-04-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве
 

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#3
В чем заключается подозрение?
Здравствуйте, после некоторого времени работы ОС начинается явное проседание производительности, так же некоторое время тому я самостоятельно проводил поиск и лечение системы по средствам HitmanPro и mbam, возможно на компьютере все ещё присутствуют следы остаточного заражения.
 

Вложения

  • 1.4 KB Просмотры: 2

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#4
Не вижу ничего интересного. Подготовь лог AdwCleaner. Какой софт устанавливался до возникновения проблемы?
 

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#5
да вроде кроме нового .net и обновлений ничего не ставил.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#6
Что используешь?

Код:
Папка Найдено : C:\Program Files (x86)\globalUpdate
Папка Найдено : C:\Users\Public\Documents\Goobzo
Папка Найдено : C:\Users\Public\Documents\ShopperPro
Папка Найдено : C:\Users\Public\Documents\YTAHelper
Папка Найдено : C:\Users\user32\AppData\Local\CrashRpt
Папка Найдено : C:\Users\user32\AppData\Local\globalUpdate
Если не используешь, удаляй.

Отбой, насчет интересного, нашел
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\user32\AppData\Roaming\RFPHHU.exe','');
 QuarantineFile('C:\Users\user32\AppData\Roaming\OTP.exe','');
 DeleteFile('C:\Users\user32\AppData\Roaming\OTP.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\OTP.job','64');
 DeleteFile('C:\Users\user32\AppData\Roaming\RFPHHU.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\RFPHHU.job','64');
 BC_Activate;
  ExecuteSysClean;
 BC_ImportALL;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы


Посмотри, что с проблемами.
 

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#7
отправил, то что не использую удалил, а это все из вышеуказанного списка.
 

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#8
Наблюдаем за проблемами, и подготовь свежий лог автологера.
 

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#10
Что с проблемами?
 

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#12
Подготовьте лог SecurityCheck by glax24 и устраните найденные недостатки.

Выполните: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 4 ("Скрипт сбора неопознанных и подозрительных файлов") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
 

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#13
Код:
Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 17.11.2014 23:07:29
Run directory: C:\Users\user32\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: [b]False[/b]
FileVersionInet: 8.3
__________________________________________________

Windows 8.1 (6.3.9200)  (x64) Professional Lang: Russian(0419)
Дата установки ОС: 30.05.2014 08:20:33
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 251533 мин.
Системный диск: C:\ ФС: NTFS Емкость: [97.6 Гб] Занято: [57.6 Гб] Свободно: [40 Гб]
Браузер по умолчанию: C:\WINDOWS\system32\OpenWith.exe
-------------Windows------------------------------
Internet Explorer 11.0.9600.17416
Контроль учётных записей пользователя [b]включен[/b]
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-11-17 16:10:59
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Windows Defender
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Windows Defender
-------------OtherUtilities-----------------------
CCleaner v.5.0
AVZ 4.43 + HijackThis + RSIT + GMER
-------------Java---------------------------------
Java 8 Update 25 (64-bit) v.8.0.250
Java 8 Update 25 v.8.0.250
Java Auto Updater v.2.8.25.18
-------------AdobeProduction----------------------
Adobe Flash Player 15 Plugin v.15.0.0.223
-------------Browser------------------------------
Google Chrome v.39.0.2171.62 [b][+][/b]
-------------EmailClient--------------------------
Mozilla Thunderbird 31.2.0 (x86 ru) v.31.2.0
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.39.0.2171.62
-------------EndLog-------------------------------
так же выложил автокарантин http://safezone.cc/threads/sotrudnichestvo-safezone-i-razrabotchika-avz.22659/
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#14
Будут проблемы, обращайся.
 

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#15
Будут проблемы, обращайся.
Проблему мы так и не выявили, а я тут чутка покопался и нашел процесс который приводит к торможению системы... теперь нужно корректно вылечить мою систему.

если этот процесс запущен во всех играх страшно падает ФПС, даже если эти игры напрямую связаны с валидным Стим процессом... если этот процесс убить, то файл пропадает из папки с которой он стартовал.
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,067
Симпатии
5,730
#16
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Users\user32\AppData\Roaming\.mono\Reversed', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
DeleteFileMask('C:\Users\user32\AppData\Roaming\.mono\Reversed', '*', true);
DeleteDirectory('C:\Users\user32\AppData\Roaming\.mono\Reversed');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
 

zerikua

Активный пользователь
Сообщения
34
Симпатии
16
#17

Вложения

akok

Команда форума
Администратор
Сообщения
15,002
Симпатии
12,270
#20
Тогда тему отмечаю решенной
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу