Перейти к содержанию
Правила раздела

Подозрение на вирусную активность [OK]

DaTa

Автор DaTa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DaTa Продвинутый

DaTa

Опубликовано
Опубликовано

Седня смотрю один комп и вот что заметил: explorer.exe в тупую не хочет запускатся, только после переименования в какое либо другое название. Пришлось прописать в HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell;

 

незнаю в логах Хиджака вроде бы ничего подозрительного не увидел. В Авз подозрение на руткит файла sptd.sys - проверил на Тотале - чист как стёклышко.

hijackthis.log

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Это что - C:\WINDOWS\1.exe ?

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' ');
QuarantineFile('C:\WINDOWS\1.exe',' ');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполните:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

И сделайте новый комплект логов.

Ссылка на комментарий
Поделиться на другие сайты
DaTa Продвинутый

DaTa

Опубликовано
  • Автор
Опубликовано
Это что - C:\WINDOWS\1.exe ?

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe',' ');
QuarantineFile('C:\WINDOWS\1.exe',' ');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполните:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

И сделайте новый комплект логов.

 

Пасибо :cool2: Но файл 1.ехе в папке с ВИндою это и есть переименованый мною експлорер(напомню что файл с оригинальным именем не хочет запускатся, просто пишет что файл explorer.exe не найден). Щас убью заразу в комонах... Скоро вернусь с логами

 

 

Вот новый комплект логов. Да кстати после выполнения первой части скрипта, когда АВЗ хотел делать карантин, файл C:\windows\system32\drivers\vdqynduz.sys убил ESET Smart Security эвристикой, предварительно поместив его в карантин. Если нужно файл могу выслать.

Да explorer.exe уже запускается с оригинального имени.

 

По моему это все?

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\windows\system32\drivers\vdqynduz.sys - это драйвер AVZ :cool2:

 

В логах порядок

 

Выполнить скрипт

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты
DaTa Продвинутый

DaTa

Опубликовано
  • Автор
Опубликовано (изменено)

ДА с тем компом все чисто. Но вот незадача, дал вчера знакомому поискать в интернете книги, которые ему для учебы нужны, а он подхватил мне один из AdLoad'еров. Постоянно выводиться окно которое невозможно убить, с рекламой секс-шопов. Логи АВЗ предоставить немогу, так как при сканировании система вылетает в BSOD. Что делать не подскажете? Просто первый раз при включеном Касперским у меня на компе активный вредонос :cool2:

 

Malware Bytes - нашел руткит BAggle - вроде удалил, попросил перезагрузки, а окно все равно появляется.

Gmer - при сканировании просто вылетает, просканировать невозможно.

 

Какие еще будут варианты?

Вот лог MBAM.

mbam_log_2009_06_12__10_36_32_.txt

Изменено пользователем DaTa
Ссылка на комментарий
Поделиться на другие сайты
DaTa Продвинутый

DaTa

Опубликовано
  • Автор
Опубликовано (изменено)
Да.

Касперского не успел отключить, но попытка успешно провалилась. У меня в АВЗ есть включеный AVZPM, нашел 2 руткита, но стандартно на 3-ей стадии "Сканирование дисков" - BSOD. Попробовать теперь вырубить чето еще?

 

Вот лог GMER

Лог Хиджака

 

Ах да при проверке полиморфным Авз, на стадии проверки Keyloger'ов, програма завершает работу с каким то неопределенным исключением(External Exception C00000D1). Логов выложыть немогу. Попробую зделать лог при помощи GetSystemInfo.

3xjrvgdt.log

hijackthis.log

Изменено пользователем DaTa
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Попробуйте сделать логи полиморфным AVZ с ключом AM=Y.

Если не получится - попробуйте сделать логи в безопасном режиме.

 

Лог gmer после нажатия на кнопку Scan? Если нет - попробуйте переделать (не получится в нормальном режиме, тогда тоже в безопасном)

Ссылка на комментарий
Поделиться на другие сайты
DaTa Продвинутый

DaTa

Опубликовано
  • Автор
Опубликовано (изменено)
Попробуйте сделать логи полиморфным AVZ с ключом AM=Y.

Если не получится - попробуйте сделать логи в безопасном режиме.

 

Лог gmer после нажатия на кнопку Scan? Если нет - попробуйте переделать (не получится в нормальном режиме, тогда тоже в безопасном)

ДА это лог Gmer после кнопки Scan.

Как запустить полиморфный авз с ключиком AM=Y ? Через командную строку типо: game.pif /AM=Y ?

 

Ссылка на GetSysInfoParser: http://www.getsysteminfo.com/read.php?file...7f062491b959d24

Изменено пользователем DaTa
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Snak3EyeS92
      Подозрительная сетевая активность
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • SuPeR_1
      Подозрение на майнер
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Snak3EyeS92
      [РЕШЕНО] Подозрение на Malware/Bot
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
×
×
  • Создать...