Перейти к содержанию
Правила раздела

ВирусTrojan-PSW.Win32.OnLineGames.htm

Slavina

От Slavina
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Slavina Новичок

Slavina

Опубликовано
Опубликовано

Добрый день!

 

Проблема следующая: вчера заметила, что память процессора перегружена, хотя никаких программ задействовано не было. Проверка антивирусом не нашла никакого сбоя. Решила проверить программой AVZ. В результате, в 4 файлах WINDOWS:\Installer ..... было обнаружено подозрение на данный вирус + какие-то странные перехватчики. Программа все удалила, я провела повторное тестирование Он-лайн сканером Касперского, программой AVZ и своим антивирусом - все чисто. Но сегодня с утра опять начались проблемы. Память процессора снова стала загружена на 100%, все тормозило. Я опять включила проверку AVZ - результат тот же, что и вчера, обнаружился данный вирус, только теперь уже не в той траектории, что вчера, а в C:\ Volume.... AVZ всё это опять удалила. Но сдаётся мне, что это опять временно, и вирус опять появится. Прикрепила все 4 файла, как было описано в вашей инструкции. Только во второй раз AVZ этого вируса уже не нашел, и к вам ушел отчет без данного трояна, но с какими-то перехватчиками. Помогите, пожалуйста !

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Ссылка на комментарий
Поделиться на другие сайты
Mona Sax Гигант мысли

Mona Sax

Опубликовано
Опубликовано

Slavina, добро пожаловать на форум :)

попробуйте отключить восстановление системы и после этого почистить. скорее всего он вылазит обратно из System Volume Information.

Ссылка на комментарий
Поделиться на другие сайты
vidocq89 Опытный

vidocq89

Опубликовано
Опубликовано

если не ошибаюсь, то у ТС отключено восстановление системы...

PS: никаких опасных файлов что-то я в логах не увидел...

Хотя все, что можно потенциально опасное включено (

Ссылка на комментарий
Поделиться на другие сайты
Slavina Новичок

Slavina

Опубликовано
  • Автор
Опубликовано (изменено)
Slavina, добро пожаловать на форум :)

попробуйте отключить восстановление системы и после этого почистить. скорее всего он вылазит обратно из System Volume Information.

 

Спасибо, все еще раз проделала с отключенным восстановлением системы, подозрение на вирус пропало. Но откуда эти перехватчики? Сегодня их почему-то больше стало определяться. Вот что пишет:

Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=0846E0)

Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000

SDT = 8055B6E0

KiST = 80503A70 (284)

Функция NtConnectPort (1F) перехвачена (805A31EA->EE2E5EB0), перехватчик C:\WINDOWS\System32\vsdatant.sys, драйвер опознан как безопасный

 

и т.д. в количестве 28 штук. Далее: проверено функций: 284, перехвачено: 28, восстановлено: 0

 

 

если не ошибаюсь, то у ТС отключено восстановление системы...

PS: никаких опасных файлов что-то я в логах не увидел...

Хотя все, что можно потенциально опасное включено (

 

Спасибо за ответ. А можно с этого места поподробней? Про потенциально опасное ПО? Что конкретно мне надо включить? Я просто мало что в этом понимаю. У меня стоят Нод32 + ЗонАларм, вирусы ловила до этого ну ооочень редко.

Изменено пользователем Slavina
Ссылка на комментарий
Поделиться на другие сайты
vidocq89 Опытный

vidocq89

Опубликовано
Опубликовано (изменено)
количестве 28 штук

Конечно. У вас установлен фаервол и антивирус. Они сидят в системе и следят за ней - и перехватывают все как бы.. ну грубо говоря... короче говоря C:\WINDOWS\System32\vsdatant.sys это файл вашего фаервола (ЗонАларма) так что с ним все в порядке...

 

Опасным я посчитал то, что у вас включено следующее:

административный доступ к локальным дискам
возможность подключения анонимных пользователей
отправка приглашений удаленному помошнику

 

Думаю, вы в этом не нуждаетесь и это можно спокойно отключить, что бы это сделать выполните в AVZ следующий скрипт:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.

 

Также использование браузера IE является нежелательным.

 

 

Но раз вы говорите, что кол-во перехватчиков увеличилось, то возможно, что за сутки вы успели подхватить заразу.

Сделайте логи еще раз. Ну или хотя бы только один лог virusinfo_syscheck.zip

Изменено пользователем vidocq89
Ссылка на комментарий
Поделиться на другие сайты
Slavina Новичок

Slavina

Опубликовано
  • Автор
Опубликовано (изменено)
Конечно. У вас установлен фаервол и антивирус. Они сидят в системе и следят за ней - и перехватывают все как бы.. ну грубо говоря... короче говоря C:\WINDOWS\System32\vsdatant.sys это файл вашего фаервола (ЗонАларма) так что с ним все в порядке...

 

 

Еще раз спасибо за развернутый ответ.

 

Опасным я посчитал то, что у вас включено следующее:

административный доступ к локальным дискам
возможность подключения анонимных пользователей
отправка приглашений удаленному помошнику

 

Думаю, вы в этом не нуждаетесь и это можно спокойно отключить, что бы это сделать выполните в AVZ следующий скрипт:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.

 

Также использование браузера IE является нежелательным.

Но раз вы говорите, что кол-во перехватчиков увеличилось, то возможно, что за сутки вы успели подхватить заразу.

Сделайте логи еще раз. Ну или хотя бы только один лог virusinfo_syscheck.zip

 

 

Немного проясню ситуацию по поводу : имеется 2 ноутбука - мой и мужа, имеется адсл-модем в режиме роутера, имеется принтер, подключенный к моему ноутбуку. Локальная сеть объединяет наши 2 ноута, чтобы мы оба имели возможность выхода в интернет, а также, чтобы муж мог распечатывать свои документы через мой компьютор. Если я выполню скрипты, приведенные Вами выше, не упадет ли наша "домашняя сеть"?

Изменено пользователем Slavina
Ссылка на комментарий
Поделиться на другие сайты
Slavina Новичок

Slavina

Опубликовано
  • Автор
Опубликовано
Здравствуйте. Сеть у Вас упасть не должна. Кстати вопрос: антивирус у Вас на обоих компьютерах?

 

 

Да, антивирус стоит на обоих компьюторах, у меня Нод32+ЗонАларм, у мужа Нод32+виндосский файерволл.

 

 

Вот еще кое-что странное заметила. Не знаю, может у меня просто паранойя уже... Но система постоянно тормозит.

 

Открываю папку "Сетевые подключения" - все в порядке, как было и всегда

А вот если нажать на "Сетевое окружение" - там появился странный значок подключения к роутеру, которого раньше не было.

 

Скрины во вложении.

 

Это не значит, что ко мне кто-то еще подключился?

post-4466-1204306775_thumb.jpg

post-4466-1204306906_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • swim1x
      Trojan-PSW.Win32.Convagent.gen
      От swim1x
      Забился диск C, и я полез его очищать. Зашёл я в диск C, пользователи, нашёл программку какую-то. Открыл её, и там были какие-то программы. Погуглил, узнал что это какие-то читы на ксго. Ну да и ладно подумал я, захотел проверить программу на вирустотале и увидел что известные антивирусы пишут RatX.
×
×
  • Создать...