Перейти к содержанию
Правила раздела

Подозрение на вирусную активность

natalia48rus

От natalia48rus
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

natalia48rus Новичок

natalia48rus

Опубликовано
Опубликовано

Доброго времени суток, с недавнего времени стали заметны странные вещи, в браузере вместо сайта гугл появляется порнография, частые зависания системы, торможени. посмотрите логи пожалуйста.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
natalia48rus Новичок

natalia48rus

Опубликовано
  • Автор
Опубликовано
Этот ip адрес вам знаком?

Код

91.192.96.18 91.192.97.18

 

 

да

 

что с проблемой пока непонятно.. зависания появлялись периодически, поэтому нужно потестить. но есть + в браузерах при переходе по ссылке www.google.ru не появляется порнография.

 

 

 

логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
Опубликовано

Пожалуйста,внимательно прочитайте правила и выполните :)

Перед выполнением следующих пунктов (8, 10, 12) закройте свои антивирусные программы, игры, текстовые редакторы и любые другие программы, оставьте запущенным только программу-браузер!
Ссылка на комментарий
Поделиться на другие сайты
Alex1983 Новичок

Alex1983

Опубликовано
Опубликовано (изменено)

Выполните скрипт AVZ

 

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Windows\system32\vksaver.dll','');
QuarantineFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL','');
QuarantineFile('C:\Users\4977~1\AppData\Local\Temp\c6Rb9ikz.sys','');
QuarantineFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL','');
DeleteFile('C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL');
DeleteFile('C:\Users\4977~1\AppData\Local\Temp\c6Rb9ikz.sys');
DeleteFile('C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL');
DelBHO('{9CB65201-89C4-402c-BA80-02D8C59F9B1D}');
DelBHO('{FE063DB1-4EC0-403e-8DD8-394C54984B2C}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

после выполнения скрипта компьютер перезагрузится.

 

после перезагрузки выполнить второй скрипт AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Полученный архив отправьте согласно форме http://support.kaspersky.ru/virlab/helpdesk.html

 

Результат сообщите в этой теме.

 

Для отключения автозапуска CDROM выполните скрипт в AVZ. (На ваше усмотрение)

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
end.

 

Профиксите в HijackThis следующие строчки

O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)

 

У вас RAdmin установлен?

Пользуетесь сервисами Вконтакте? Это лишний риск для компа

 

Что с проблемой?

Повторите логи.

+

 

Лог RSIT.

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Изменено пользователем Alex1983
Ссылка на комментарий
Поделиться на другие сайты
MotherBoard Ветеран

MotherBoard

Опубликовано
Опубликовано

illayj Эти программы, что вы просите удалить, это с одной стороны - риск для компа или лишняя дыра в системе безопасности, а с другой стороны - это программа может быть нужна пользователю как воздух, как тот же Мэйл.Ру Агент. Alex1983 правильно сделал, что сначала спросил. Только в случае отрицательного ответа пользователя файл можно удалить.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Alexandr_XML
      [РЕШЕНО] Активное заражение Win64.SEPEH
      От Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • AL_o
      Прокатило (вирусный, неочевидный для пользователя метод реализации продуктов лаборатории)
      От AL_o
      Добрый день.
      Моя цель рассказать о неприятной для меня ситуации чтобы предотвратить такую в будущем для других. Может кто то мне поможет донести информацию куда следует? А может Компанию полностью устраивают такие ситуации.
       
      Я сотрудник организации, помимо прочего отвечающий за мобильную связь в организации. Помимо прочих операторов мы сотрудничаем с мегафоном и часть корпоративных симок от него. На днях бухгалтерия внезапно получила по эдо счёт-фактуру согласно которой мегафон продал нам продукт лаборатории каперского. Начали выяснять... В общем либо это тонкая подстава призванная очернить доброе имя лаборатории (или просто им воспользоваться), либо лаборатория перешла на "нажми на кнопку на сайте - получи подписку со списанием со счёта мобильного оператора" способ распространения. Позиция мегафона типична для оператора, допускающего различные подписки и списания на внешних ресурсах - меня убеждают что это абонент сам согласился, расписался кровью и т.п., что услуга ему жизненно необходима, а мегафон просто предоставил удобнейший для распространения канал - тык и готово. Но искренне интересна позиция лаборатории. Допуская что этот кейс реален - человек со своего личного мобильного устройства, но пользуясь корпоративной сим-картой заходит на опасный (!) веб сайт где касперский услужливо предлагает ему купить антивирус для трёх устройств и оплатить случайным нажатием пальца со общего счёта компании..? Абонент клянётся что если и было что то - то мимолётом, с большой кнопкой да и мааааленьким крестиком в углу как всегда бывает у замечательных мобильных подписок. Каков кейс данного продукта если на секундочку предположить что это было осознанно. На состояние телефона компании плевать. На состояние счёта кампании должно быть плевать сотруднику. Мегафон+касперский - соединяя несоединяемое.
       
      Благодарю за ваше время. Надеюсь на вашу помощь в донесении информации до кого надо и предотвращения возвращения в нулевые со всеми этими мобильными подписками. Хотя бы не от лаборатории касперского блин!


    • kostyan2008
      Подозрение на вирусы, майнер
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
×
×
  • Создать...