Профосмотр

[Nikolay Lazarenko]

Хочу профосмотр пройти,стандартными средствами уже проверял.Система частенько жутко тормозит в присутствии защитного ПО.Старых знаний по утилитам недостаточно,потому прошу помочь в проверке.

Заранее благодарен.

CollectionLog-2018.03.05-01.07.zip

Изменено 4 марта, 2018 пользователем Nikolay Lazarenko

[regist]

1) Соберите логи этой версией Автологера.

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

PS. AVZ будет лежать в папке ..\AutoLogger\AVZ

[Nikolay Lazarenko]

1) Соберите логи этой версией Автологера.

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

PS. AVZ будет лежать в папке ..\AutoLogger\AVZ

1.CollectionLog-2018.03.05-23.41.zip

2.

MD5 карантина: 30BEA86EE9E652A08FA1DB0716238F3C

Размер файла: 138131318 байт

Ссылка на результаты анализа карантина

AVZ пришлось скачать с virusinfo т.к. тот,который лежит в автологгере не имеет возможности обновления.При выполнении процедуры сбора файлов значительная часть не скопировалась в карантин по причине ошибки прямого чтения.

 

P.S.: Удалял KIS перед новыми логами,закончился пробный период

[regist]

Здравствуйте!

AVZ пришлось скачать с virusinfo

1) На вирусинфо нет своих утилит. Всё что вы оттуда качаете это просто редиректы на другие сайты, даже если ссылка для неопытного взгляда выглядит внутренней. Если AVZ то на сайт Олега.
2)
 

тот,который лежит в автологгере не имеет возможности обновления.

Потому что ему и не нужны отдельные базы, базы вшиты внутри.
3)

При выполнении процедуры сбора файлов значительная часть не скопировалась в карантин по причине ошибки прямого чтения.

Потому что надо было использовать тот который внутри Автологера ибо в нём исправлена работа с редиректорм на x64 системамах, а не заниматься самодеятельностью.
___________________________
1)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Николай\AppData\Roaming\System\svchost.exe','');
 DeleteFile('C:\Users\Николай\AppData\Roaming\System\svchost.exe','64');
ExecuteSysClean;
 RegKeyDel('hklm', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

2) "Пофиксите" в HijackThis:

O4 - HKCU\..\StartupApproved\Run: [WMUTray.exe] (2015/09/05) = C:\Program Files (x86)\WakeMeUp\WMUTray.exe (file missing)
O4 - HKLM\..\Run: [WindowsDefender] = C:\Program Files\Windows Defender\MSASCuiL.exe  (file missing)
O4 - HKLM\..\StartupApproved\Run32: [WMUAgent.exe] (2015/09/05) = C:\Program Files (x86)\WakeMeUp\WMUAgent.exe (file missing)
O4 - User Startup: C:\Users\Николай\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_52797982.lnk    ->    (lnk is corrupted)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: &Отправить в OneNote - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll (file missing)

3) Не вижу ни одного установленного антивируса (не считая включённого Windows Defender), но зато вижу хвосты др. Веб, Касперского и от avast. От avast ещё остался avast! Ad Blocker. Он нужен или остался с тех времён когда стоял avast?
 
Удалите хвосты антивирусов https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 5 марта, 2018 пользователем regist

[Nikolay Lazarenko]

1.Само собой,у ВИ своего нет.
2.Естественно,только базы концом февраля датированы.
3.Увы,но при копировании файлов в карантин те же ошибки как и в обычной версии.
Ссылка на результаты анализа автокарантина AVZ из автологгера:
http://virusinfo.info/virusdetector/report.php?md5=8CE9FA640B01D4798F0DAC17D202FF25
 
MD5 карантина: 8CE9FA640B01D4798F0DAC17D202FF25
Размер файла: 143773324 байт
 
 
P.S.: Сейчас выполню новые указания.Спасибо.

Скрипт выполнил,пофиксил,почистил хвосты антивирусов(avast! Ad Blocker был нужен ранее,сейчас не актуален).Удалил после самых первых логов KIS(закончился пробник),потому только Защитник родной видно.При выполнении скрипта операция копирования в карантин не завершилась успешно - ошибка прямого чтения.

Прилагаю свежие логи

CollectionLog-2018.03.06-02.31.zip

Изменено 5 марта, 2018 пользователем Nikolay Lazarenko

[regist]

1)

 

Скрипт выполнил,пофиксил,почистил хвосты антивирусов

Остатки каспеского и avast! Ad Blocker до сих пор видно, ещё раз пройдитесь утилитамии для их чистки.

 

2) Live Updater - думаю не нужен и можно удалить, только по напрасну замедляет работу системы.

 

3) У вас во время сборка упал с созданием дампа \nvspcaps64.exe, возможно прога некоректно работает.

 

4) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

[Nikolay Lazarenko]

Добрый день.

 

Логи uVS.

NIKOLS_2018-03-08_10-48-59.7z

 

Логи  AutorunsVTchecker (через графическую версию) нужно делать?Проверку полную прошел согласно указаниям.

 

Оказалось,что avast! Ad Blocker можно удалить средствами системы через "Программы и компоненты" - удлил.Через kavremover попробовал снова удалить хвосты линейки KAV/KFA/KIS.

 

Спасибо.

Изменено 8 марта, 2018 пользователем Nikolay Lazarenko

[regist]

1) У вас стоит и 7-Zip 16.04 (x64) и 7-Zip 9.20. Старый надо бы удалить и лучше обновить до актуальной версии - 18.01.

2) Куча разных утилит от Asus установлены, наверняка просто с установкой драйверов за компанию поставились. Пересмотрите, если они вам не нужны, то деинсталируйте лишние.

3) avast! Ad Blocker - до сих пор виден в списке установленных программ.

4) Unity Web Player - если сами не ставили, то деинсталируйте.

5)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.3
   v400c
   BREG
   regt 37
   ;---------command-block---------
   delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
   delref %SystemDrive%\USERS\НИКОЛАЙ\DOWNLOADS\BS\_ISDEL.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURE CONNECTION 2.0\KSDEUI.EXE
   delref %SystemDrive%\KALUGADC++\KALUGADC.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MCHJNMDBDLKDBFLIOGEDBNPNANFJNOLK\5.1.93.0_0\KASPERSKY PROTECTION
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASWSMA.DLL
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTGUIPROXY64.DLL
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\NG\VBOX\AVASTVBOXSVC.EXE
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\NG\VBOX\VBOXC.DLL
   delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\NG\VBOX\X86\VBOXCLIENT-X86.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE CREATIVE CLOUD\UTILS\CREATIVE CLOUD UNINSTALLER.EXE
   delref E:\AUTORUN.EXE
   delref F:\AUTORUN.EXE
   delref G:\AUTORUN.EXE
   delref H:\AUTORUN.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\VMWARE\VMWARE WORKSTATION\ELEVATED.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\SPECNAZ - PROJECT WOLF\SPECNAZ.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\ПАТРИОТ\ENGINE.EXE
   delref %SystemDrive%\USERS\НИКОЛАЙ\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
   delref I:\STARTME.EXE
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   apply
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

6) Что с проблемой?

[Nikolay Lazarenko]

Виноват,удаление хвостов делал после логов uVS.

После удаления KIS система стала шустрее работать в общем-то,полагаю,что он каким-то образом влиял на производительность.

Сейчас выполню скрипт и отвечу.

 

 

Спасибо за помощь.

Пока сейчас ничего из антивирусов не ставлю,система работает вполне нормально.Почищу остальной мусор(ненужное),заменю термопасту,должно быть еще лучше.Заказ на KIS еще не пришел,временно придется пользоваться либо триалом,либо бесплатными версиями.Из фривара выбор стоит между KFA и Avast Free.Лишь бы снова тормозов не было.KFA вроде не такой тяжелый как KIS,ранее пользовался.

Как я понимаю,кроме мусора,страшных зловредов в системе не было?

Изменено 8 марта, 2018 пользователем Nikolay Lazarenko

[regist]

 

 

Как я понимаю,кроме мусора,страшных зловредов в системе не было?

да, по сути только мусор (хвосты от удалённых программы и т.д.) почистили. Из вирусов был только хвост на запуск

 

 

C:\Users\Николай\AppData\Roaming\System\svchost.exe

а сам файл похоже давно был удалён.

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.