Решена Security Protection/defender.exe

Статус
В этой теме нельзя размещать новые ответы.

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#1
Ездил к другу с жалобой на такую штуку:
Вот нашел кое-что нашел в гугле.
proxy.php?image=http%3A%2F%2Fi030.radikal.ru%2F1109%2F0e%2F82f2e468c2a2t.jpg&hash=ea961b0edb69227c76554f8dba2692ba

В обычном режиме ничего не дает сделать, в safe mode нормально.
Селится в allusers\appdata, как defender.exe и в реестре, в автозагрузке, больше нигде нет, все это зачищаю, нормально.
На следующий день человек звонит, мол опять, и так второй раз уже.
В avz все чисто.
Откуда он может появляться опять?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#2
Без логов сказать что-то определенное трудно
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#3
thyrex,
Вот я сегодня поеду к нему, что сделать нужно тогда?
 

icotonev

Ассоциация VN
Сообщения
1,423
Симпатии
1,165
Баллы
553
#4
Это мошеннических (rogue) антивирусных программ..!:)

1.Перезагрузите компьютер в безопасном режиме с поддержкой сети (Safe Mode with Networking.)

1.Выполните следующие: Как использовать RKill by Grinler

2.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#5
icotonev,
А сам смогу в этом логе разобраться? Попробую, конечно, но прикреплю все равно...

Добавлено через 5 часов 42 минуты 1 секунду
Сегодня не получилось, завтра поеду, а на что смотреть в логе?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,371
Симпатии
2,443
Баллы
593
#6
Нам сбросьте. Мы сами посмотрим
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#7
Вот начал сканировать, минут 20 думаю будет идти.
Есть кто-н кто посмотрит?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,390
Симпатии
8,729
Баллы
743
#9
Удалите в MBAM все, кроме:

Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
d:\Windows\Setup\SCRIPTS\data\bootinst.exe (Malware.Packer.Gen) -> No action taken.
Потом подготовьте логи по правилам
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#10
Severnyj,
Вот такой лог нужен:
запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,390
Симпатии
8,729
Баллы
743
#11
Да конечно, все, что написано в правилах, то и выполняйте
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,390
Симпатии
8,729
Баллы
743
#13
Без лога RSIT сложно сказать, мне не нравиться вот это:

Ошибка LSP NameSpace: В описании отсутствует количество пространств имен
Ошибка LSP Protocol: В описании отсутствует количество протоколов
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 2
Возможны проблемы при работе с сетью и Интернет
Запишите ваши сетевые настройки, востпользуйтесь утилитой Winsockxpfix

- данная утилита исправит данные ошибки, но сбросит все настройки сетевых устройств по умолчанию.

Или воспользуйтесь данной статьей на сайте Microsoft
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#14
Severnyj,
Аааа, да эту ошибку avz постоянно выдает, даже когда чистая ось.
Может потому что я патчил tcpip.sys?
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#15
Severnyj,
А так все порядке, не считая этого?
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,390
Симпатии
8,729
Баллы
743
#16
Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:

Adobe Flash Player
Adobe Reader
Java

и проч.

Так кроме нарушений в Winsock ничего подозрительного.
 

Wu-Tang

Эксперт клуба THG
Сообщения
138
Симпатии
42
Баллы
418
#17
Смените все пароли ICQ, Контакт, Почта итд
А что это могло отразиться на паролях?

Необходимо очистить ранее созданную точку восстановления и создать новую:
А оно у меня вовсе отключено изначально, тк толку от него 0.

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:
Даже они могут быть причиной заражения? :eek:

Так кроме нарушений в Winsock ничего подозрительного.
Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?

Ну вот столько времени уже не появляется, как друг сказал, значит все зачищено.
Спасибо за помощь!
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,390
Симпатии
8,729
Баллы
743
#18
А что это могло отразиться на паролях?
А Вы уверены, что данный зловред не вел за Вами слежку?

Даже они могут быть причиной заражения?
Конечно, советую посетить: http://www.securitylab.ru/vulnerability/

Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?
Скорее MBAM!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу