Перейти к содержанию
Правила раздела

что за папка

Xenon

От Xenon
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Xenon Ветеран

Xenon

Опубликовано
Опубликовано (изменено)

Стало выскакивать время от времени окошко

Раскрывающийся текст:

post-8400-1320436796_thumb.png

 

Запустил ProcessExplorer увидел следущее

Раскрывающийся текст:

post-8400-1320436885_thumb.png

 

Заглянул в папки:

Раскрывающийся текст:

post-8400-1320437086_thumb.png

post-8400-1320437100_thumb.png

 

и проверил их КИС2012 (всё чисто)

 

Так что это за Akamai ? И что за окошко ?

 

Прилагаю логи avz и RSIT

 

UPD

похоже блокирует Касперский

Раскрывающийся текст:

post-8400-1320444644_thumb.png

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Xenon, сейчас посмотрю логи

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

Пофиксите в HijackThis следующие строчки. 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R3 - Default URLSearchHook is missing

 

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 

c:\program files\common files\akamai\netsession_win_b447b27.dll
C:\WINDOWS\system32\DRIVERS\tcpip.sys

 

 

 

ComboFix давно запускали? Отчет о работе сохранился? По какой причине решили им проверять систему?

 

Если отчет не сохранился, то

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

combofix-uninstall.jpg

 

Скачайте OTCleanIt, запустите, нажмите Clean up

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Xenon, насчет Akamai...

 

судя по всему, программа не является зловредной - это уже радует)))

 

 

Лично с ней никогда не сталкивалась, информацию прочитала сегодня впервые.

 

Судя по описанию,

Akamai Technologies — поставщик услуг для Web: акселерация веб-сайтов, провайдер платформ доставки контента и приложений. Использует большое количество территориально распределённых серверов для более быстрой доставки контента посетителям.
http://habrahabr.ru/blogs/video/13002

 

Минусы: если у вас трафик платный, то он будет просто "улетать" в никуда при обычном просмотре почты и прочего (т.к. судя по описанию, весь трафик идет через сервера Akamai).

 

 

 

Xenon, 3 ноября какие-нибудь программы устанавливали?

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Xenon Ветеран

Xenon

Опубликовано
  • Автор
Опубликовано (изменено)

Tiare, итак

3 ноября я был сутки на работе, а что ставили/не ставили сын или супруга не знаю. Инет безлимитный. Возможно обновление для MSOffice? У меня включено автоматическое обновление системы с сайта мелкомягких. И как раз на ночь оставлял чтобы обновления для Офиса скачались...

 

Пофиксить в HijackThis не получилось - нет там такого (прилагаю лог)

Попробовал выпонить Пуск => Выполнить/Combofix /Uninstall - результат Combofix не найден

OTCleanIt скачал и прогнал им

На virustotal результат отрицательный

http://www.virustotal.com/file-scan/report...9270-1320527053

Сделал еще раз логи в AVZ

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)
Возможно обновление для MSOffice? У меня включено автоматическое обновление системы с сайта мелкомягких.
Судя по информации в интернете - возможно...

 

Пофиксить в HijackThis не получилось - нет там такого (прилагаю лог)

все, что надо удалилось)))

 

 

Еще C:\WINDOWS\system32\DRIVERS\tcpip.sys проверьте на Вирустотал, ссылку на результат покажите.

 

 

+обновите Java до актуальной версии

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Xenon Ветеран

Xenon

Опубликовано
  • Автор
Опубликовано (изменено)
Раскрывающийся текст:

Судя по информации в интернете - возможно...

 

 

все, что надо удалилось)))

 

 

Еще C:\WINDOWS\system32\DRIVERS\tcpip.sys проверьте на Вирустотал, ссылку на результат покажите.

 

 

+обновите Java до актуальной версии

ОК счас забацаю ;)

Ява у меня автоматом предлагается обновление - пока не было, все равно обновлю.

 

http://www.virustotal.com/file-scan/report...141f-1320529223

 

Обновил яву, заодно проверил в АВз на уязвимости выполнив скрипт (прилагаю)

Выдало 1 уязвимость (лог прилагаю) - Adobe Flash Player. Странно, версия последняя...

 

Tiare, так мне разрешить проге запуститься? Похоже в Каспере придется снимать на него ограничение, хотя раньше сколько обновлялся такого не было... ;)

Скрипт_на_оределение_уязвимостей.txt

avz_log.txt

Изменено пользователем Xenon
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Теперь в логах чисто))

 

 

Выдало 1 уязвимость (лог прилагаю) - Adobe Flash Player. Странно, версия последняя...

обновите

 

 

Tiare, так мне разрешить проге запуститься?

Это уже на ваше усмотрение. Я не могу вам советовать удалить программу, если она не является зловредной, даже если она мне и не нравится (не важно, по каким причинам).

Изменено пользователем Tiare
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tianddu
      удаление папки с KES без прав
      От tianddu
      Добрый день, имеем учебное заведение, примерно 180 компов заведенных в AD. Распространяются GPO  С 1 сентября начали сталкиваться с такой проблемой:
      Студент жалуется на комп, смотрим, в нем майнер. Начинаем смотреть. В трее KES нет, в панели управления висит, при попытке удаления предлагает только удалить, причем запрашивает учетку для деактивации. Самой папки с касперским нет.  Разумеется стоит защита интерфейса паролем. Стоит блокировка удаления агента паролем, но скорее всего агента тоже нет на компе уже. Появилась локальная учетка с админ правами main с паролем 123456. Из интересного в одной из учеток main на рабочем столе нашли Rubeus с гитхаба. Бегло прочитав, выясняется, что можно достаточно легко сделать подмену билета и получить на локальном компе админ права.. Окей, ставим запрет на запуск CMD в любом виде, что просто командная строка, что выполнение скриптов. Один хрен продолжаем получать компы с такими проблемами. Пароли от локальных учеток на компах и пароли администратора доменного достаточно сложные, набор цифробукв.
      Есть подозрение все таки на студентов, так как есть классы только с дизайнерами и информатикой, а есть с программистами. Так вот страдают именно классы с программистами. Точнее можем уже сузить круг до конкретной группы с таким студентом. Интересует вопрос, как это может происходить? как защититься от такого? Возможно что загружаются с флешки например в winpe а потом сносят папку с касперским?
    • Frert
      Появилась папка на рабочем столе, без названия и не удаляется.
      От Frert
      Здравствуйте. Мне нужна помощь с тем,что после удаления офиса и скачивании пиратского с сайта из-за очень сильной необходимости  у меня появился вирус trojan win32 и hacktool win32 и на рабочем столе появилась папка без названия, которая не удаляется. Я приложил все логи после проверки. Прошу помочь мне с решение этой проблемы. Спасибо за понимание.
      CollectionLog-2024.09.06-14.40.zip
    • Сергѣй
      Как удалить/исцелить файлы в корневой папке андроида 13?
      От Сергѣй
      Использую сбербанк онлайн с встроенным антивирусом Касперского, который находит 2 файла с троянами в корневой папке, но удалить их не может, как решить эту задачу?





    • shinra
      Вирус-майнер который создал, заблокировал и скрыл папки всех существующих антивирусников по типу Malwarebytes, RogueKiller и т.д.
      От shinra
      Здравствуйте! Очень нужна помощь. 
      adw не сканит, dr веб утиль тоже не находит. 
      Rouge Killer последняя надежда но не могу его установить по ошибке 5 отказ в доступе. Прилагаю логи от FRST  но совсем не разбираюсь что вносить.
      FRST.txt Addition.txt
    • gatro
      Словил майнер сидит скорее всего в ProgramData так как закрывает данную папку и диспетчер задач
      От gatro
      У меня процессор просто сам по себе нагружается постоянно минимум на 60% но как только я запускаю диспетчер задач вся нагрузка резко пропадает и через несколько секунд сам диспетчер берёт и закрывается. Так же мне не удаётся открыть некоторые программы по типу установщика антивируса.
×
×
  • Создать...