alexs2011 0 Опубликовано 7 мая, 2017 Share Опубликовано 7 мая, 2017 Здравствуйте. Вчера KTS 17.0.0.611 во время проверки во время простоя обнаружил (защита была приостановлена): C:\Windows\Fonts\sppsrv.exe HEUR:Trojan.Win32.Generic System Memory MEM:Rootkit.Win64.EquationDrug.a C:\Windows\System32\dwnclear.exe Trojan-PSW.Win32.Bjlog.dtwr C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\up[2].exe HEUR:Trojan.Win32.Generic c:\windows\fonts\lms.exe not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1 Было проведено лечение активного заражения, KTS больше не видит угроз, но сейчас процесс java.exe нагружает процессор на 98%. Я не понимаю, как было проведено заражение: никакие файлы вчера я не скачивал, на подозрительные сайты не заходил. CollectionLog-2017.05.07-11.13.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 мая, 2017 Share Опубликовано 7 мая, 2017 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\BinarySense\hldasvc.exe', ''); QuarantineFile('C:\Program Files (x86)\Common Files\BinarySense\Armaccess.dll', ''); QuarantineFile('C:\Windows\system32\drivers\see.sys', ''); QuarantineFile('C:\Windows\SysWOW64\appinit_dll.dll', ''); QuarantineFile('C:\Windows\RearmTask.exe', ''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(false); end. Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма. 3) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 7 мая, 2017 Автор Share Опубликовано 7 мая, 2017 1) https://virusinfo.info/virusdetector/report.php?md5=355144E92ED384BC82D25B5B6C34F7E8 2) Отправил через форму. ClearLNK-07.05.2017_13-53.log CollectionLog-2017.05.07-14.02.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 мая, 2017 Share Опубликовано 7 мая, 2017 1) "Пофиксите" в HijackThis: O2-32 - BHO: Microsoft Web Test Recorder 10.0 Helper - {876d9f09-c6d6-4324-a2cc-04dd9a4de12f} - C:\Program Files (x86)\Microsoft Visual Studio 11.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll (file missing) O4 - (disabled) HKLM\..\Run-: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe (file missing) O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^O&O Defrag Tray.lnk - C:\Windows\Installer\{EAD525A8-13CD-400E-A01D-E4492BBB0FEC}\DefragIcon.exe (2014/05/15) (file missing) O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^iSCTsysTray.lnk - C:\Program Files (x86)\Intel\Intel(R) Smart Connect Technology Agent\iSCTsysTray.exe (2013/04/22) (file missing) O4 - MSConfig\startupfolder: C:^Users^Александр^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Spotflux.lnk - C:\Program Files (x86)\spotflux\spotflux.exe (2013/04/22) (file missing) O4 - MSConfig\startupreg: [Andy] C:\Program Files\Andy\HandyAndy.exe (file missing) (HKLM) (2014/12/31) O4 - MSConfig\startupreg: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe (file missing) (HKLM) (2014/09/06) O4 - MSConfig\startupreg: [SVPMgr] C:\Program Files (x86)\SVP\SVPMgr.exe (file missing) (HKCU) (2014/05/15) O4 - MSConfig\startupreg: [SandboxieControl] C:\Program Files\Sandboxie\SbieCtrl.exe (file missing) (HKCU) (2014/05/16) O4 - MSConfig\startupreg: [SyncManPath] C:\Users\Александр\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe -autostart (file missing) (HKCU) (2013/04/22) O4 - MSConfig\startupreg: [iTunesHelper] C:\Program Files (x86)\iTunes\iTunesHelper.exe (file missing) (HKLM) (2014/05/15) O4 - MSConfig\startupreg: [spotflux] C:\Program Files (x86)\Spotflux\services\SpotfluxAgent.exe (file missing) (HKCU) (2016/11/05) O4 - MSConfig\startupreg: [vmware-tray.exe] C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray.exe (file missing) (HKLM) (2014/05/15) 2) C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk Эти ярлыки вам знакомы? 3) Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению.Подробнее читайте в руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 7 мая, 2017 Автор Share Опубликовано 7 мая, 2017 (изменено) 1) Пофиксил 2) Нет Проблема с java.exe вроде бы решена. mbam.txt Изменено 7 мая, 2017 пользователем alexs2011 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 мая, 2017 Share Опубликовано 7 мая, 2017 2) Нет Удалите их вручную тогда. MBAM деинсталируйте. Проблемы ещё остались? Цитата Ссылка на сообщение Поделиться на другие сайты
alexs2011 0 Опубликовано 7 мая, 2017 Автор Share Опубликовано 7 мая, 2017 Нет. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 мая, 2017 Share Опубликовано 7 мая, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.