Решена Security Protection/defender.exe

Статус
В этой теме нельзя размещать новые ответы.

Wu-Tang

Эксперт клуба THG
Сообщения
213
Реакции
54
Ездил к другу с жалобой на такую штуку:
Вот нашел кое-что нашел в гугле.

В обычном режиме ничего не дает сделать, в safe mode нормально.
Селится в allusers\appdata, как defender.exe и в реестре, в автозагрузке, больше нигде нет, все это зачищаю, нормально.
На следующий день человек звонит, мол опять, и так второй раз уже.
В avz все чисто.
Откуда он может появляться опять?
 
Без логов сказать что-то определенное трудно
 
thyrex,
Вот я сегодня поеду к нему, что сделать нужно тогда?
 
Это мошеннических (rogue) антивирусных программ..!:)

1.Перезагрузите компьютер в безопасном режиме с поддержкой сети (Safe Mode with Networking.)

1.Выполните следующие: Как использовать RKill by Grinler

2.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
 
icotonev,
А сам смогу в этом логе разобраться? Попробую, конечно, но прикреплю все равно...

Добавлено через 5 часов 42 минуты 1 секунду
Сегодня не получилось, завтра поеду, а на что смотреть в логе?
 
Нам сбросьте. Мы сами посмотрим
 
Вот начал сканировать, минут 20 думаю будет идти.
Есть кто-н кто посмотрит?
 
Вот:
 

Вложения

  • mbam-log-2011-09-02 (22-27-31).txt
    8.4 KB · Просмотры: 6
Удалите в MBAM все, кроме:

Код:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
d:\Windows\Setup\SCRIPTS\data\bootinst.exe (Malware.Packer.Gen) -> No action taken.

Потом подготовьте логи по правилам
 
Severnyj,
Вот такой лог нужен:
запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
 
Да конечно, все, что написано в правилах, то и выполняйте
 
Вот:
Я ничего подозрительного уже не вижу. :facepalm:
 

Вложения

  • virusinfo_syscure.zip
    25.6 KB · Просмотры: 3
Без лога RSIT сложно сказать, мне не нравиться вот это:

Ошибка LSP NameSpace: В описании отсутствует количество пространств имен
Ошибка LSP Protocol: В описании отсутствует количество протоколов
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 2
Возможны проблемы при работе с сетью и Интернет

Запишите ваши сетевые настройки, востпользуйтесь утилитой Winsockxpfix

- данная утилита исправит данные ошибки, но сбросит все настройки сетевых устройств по умолчанию.

Или воспользуйтесь данной статьей на сайте Microsoft
 
Severnyj,
Аааа, да эту ошибку avz постоянно выдает, даже когда чистая ось.
Может потому что я патчил tcpip.sys?
 
Severnyj,
А так все порядке, не считая этого?
 
Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:

Adobe Flash Player
Adobe Reader
Java

и проч.

Так кроме нарушений в Winsock ничего подозрительного.
 
Смените все пароли ICQ, Контакт, Почта итд
А что это могло отразиться на паролях?

Необходимо очистить ранее созданную точку восстановления и создать новую:
А оно у меня вовсе отключено изначально, тк толку от него 0.

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:
Даже они могут быть причиной заражения? :eek:

Так кроме нарушений в Winsock ничего подозрительного.
Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?

Ну вот столько времени уже не появляется, как друг сказал, значит все зачищено.
Спасибо за помощь!
 
А что это могло отразиться на паролях?

А Вы уверены, что данный зловред не вел за Вами слежку?

Даже они могут быть причиной заражения?

Конечно, советую посетить: http://www.securitylab.ru/vulnerability/

Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?

Скорее MBAM!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу