• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Странная активность.

Статус
В этой теме нельзя размещать новые ответы.

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Вечер добрый.
Давно беспокоит проблема с действиями моего ноутбука.
Dr.web каждый день по 3-4 раза замечает активность какого-то файла находящегося в C/Programm Files (x86)...... (tool.buildsisdl.49) Действие: Перемещено в карантин. Смотрим что в карантин файл попал, потом отошел по делам минут на 15 и файла уже нет в карантине, а вебер реагирует все по новой на него + к этому частые попытки заменить что-то в системе.
Еще интересен файл C:\Users\Андрей\AppData\Local\Temp\~0DFE23 (Че-то такое в AVZ видится)
Прилагаю ссылку на полный сбор данный от Dr.web (Похоже на GSF)
Вот тут
 

Вложения

  • MBAM-log-2013-05-06 (19-00-58).txt
    2.8 KB · Просмотры: 3
  • log.txt
    139.7 KB · Просмотры: 2
  • info.txt
    24 KB · Просмотры: 1
  • virusinfo_syscure.zip
    36.6 KB · Просмотры: 2

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую TheAssassin, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Закройте все программы, отключите антивирус, файрволл и прочее защитное ПО.

1. Запустить AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт(порядковые номера не копировать) - Нажать кнопку Запустить.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\mtatecfg.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\madotate.exe','');
 QuarantineFile('C:\Windows\TEMP\55F8BFE.sys','');
 QuarantineFile('C:\Windows\TEMP\4DF21E4.sys','');
 DeleteFile('C:\Windows\TEMP\4DF21E4.sys');
 DeleteFile('C:\Windows\TEMP\55F8BFE.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\Windows\TEMP\4DF21E4.sys');
 BC_DeleteFile('C:\Windows\TEMP\55F8BFE.sys');
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.

5. Сделайте новые логи AVZ и Rsit.
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Ну... вроде сделал. Если карантин в течении часа не получите, попросите продублировать, у меня просто интернет через раз работает из-за тех. работ. Логи только ночью =(
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Если карантин не пустой, то продублируйте через почту.
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Карантинчик ушел уже точно. Логи.
 

Вложения

  • virusinfo_syscure.zip
    29 KB · Просмотры: 1
  • log.txt
    174.7 KB · Просмотры: 1
  • info.txt
    24 KB · Просмотры: 1

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Есть другие пути отправки по почте. У меня Outlook некорректно работает или же вообще не работает.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
4. Полученный архив quarantine.zip из папки с AVZ, отправьте с помощью этой формы или на этот почтовый ящик: quarantine<at>safezone.cc (замените <at> на @), укажите ссылку на тему и ник на форуме.
Только эти 2 способа. Можно еще зайти на сайт, на котором у вас создан почтовый ящик и отправить прямо от туда.
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Ну еще раз попробовал через форму + на ящик как-то получилось отправить.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Карантин пришел, все чисто.
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS
 
Последнее редактирование:

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Кое как.
 

Вложения

  • THEASSASSIN_2013-05-08_20-57-20.rar
    540.1 KB · Просмотры: 4

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
Dr.web каждый день по 3-4 раза замечает активность какого-то файла находящегося в C/Programm Files (x86)...... (tool.buildsisdl.49) Действие: Перемещено в карантин.
Похоже Dr.web так реагирует на установленную у вас 3D тему
Можно добавить в исключения Dr.web эти файлы, думаю в нем есть такая возможность и проверить.
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MADOTATE.EXE
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MTATECFG.EXE

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Похоже Dr.web так реагирует на установленную у вас 3D тему
Можно добавить в исключения Dr.web эти файлы, думаю в нем есть такая возможность и проверить.
Легко сказать... вебер не видит полный путь к файлу т.к. они скрыты в его "Обзоре" + я этой программой не пользуюсь, она просто входила в установку Win 8, ее можно деинсталлировать.

Добавлено через 2 минуты 10 секунд
Security Check by glax24 version 0.1.6.54 rc1
WebSite: www.safezone.cc
DataLog 09.05.2013 11:42:40
Program directory: C:\Users\Андрей\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=4.0
Диск C:\ ФС: NTFS Емкость: (102.2 Гб) Занято: (56.7 Гб) Свободно: (45.5 Гб)
__________________________________________________

WIN_8(6.2) Build 9200 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 01.05.2013 14:26:59
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 248101 мин.
Internet Explorer 9.10.9200.16540 [+]
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2013-05-05 18:39:34
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Dr.Web Security Space
Windows Defender
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Dr.Web Security Space
Windows Defender
-------------AntiVirusFirewallInstall-------------
Dr.Web Security Space
-------------OtherUtilities-----------------------
CCleaner v.4.01
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java 7 Update 21 (64-bit) v.7.0.210
Java 7 Update 21 v.7.0.210
-------------Browser------------------------------
Google Chrome v.26.0.1410.64 [+]
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.26.0.1410.64
-------------EndLog-------------------------------

Добавлено через 44 секунды
Это я так понимаю у меня не все права на пользователе?
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,655
Баллы
753
я этой программой не пользуюсь, она просто входила в установку Win 8, ее можно деинсталлировать.
А можно и не удалять, а пройти в автозагрузку и удалить эти файлы оттуда.
Если не получиться можем и скриптом удалить.

Это я так понимаю у меня не все права на пользователе?
Это потому что запустили не от Администратора.
 

TheAssassin

Активный пользователь
Сообщения
301
Реакции
84
Баллы
408
Больше ничего такого не замечал. SecurityCheck by glax24 есть повыше =)
Спасибо за помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу