Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Процессы conhost.exe, csrss.exe и т.д., подозрение на вирусы. (http://forum.oszone.net/showthread.php?t=291853)

Vicarious 30-11-2014 10:20 2437524
Процессы conhost.exe, csrss.exe и т.д., подозрение на вирусы.
 
Здравствуйте! Заметил у себя в диспечере задач кучу процессов без какого-либо пользователя и у меня закрались подозрения на вирусы. Процессы не закрываются, говорят что прав нет, хотя я единственный пользователь-администратор на этом пк. Недавно лечил пк от URL:Mal проблемы, прохаживался Dr. Web CureIt и Malwarebytes Anti-Malware, они на этот счет ничего не выдали.
Скриншот прилагаю.

thyrex 30-11-2014 10:21 2437525
Правила

Vicarious 01-12-2014 10:14 2437873
thyrex, прикрепляю логи AutoLogger'a.

Sandor 01-12-2014 13:46 2437998
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\SLoNiK\appdata\roaming\acestream\engine\ace_engine.exe','');
 QuarantineFileF('C:\Users\SLoNiK\appdata\roaming\acestream\', '*', true, '', 0, 0);
 DeleteFile('C:\Users\SLoNiK\appdata\roaming\acestream\engine\ace_engine.exe','32');
 DeleteFileMask('C:\Users\SLoNiK\appdata\roaming\acestream\', '*', true);
 DeleteDirectory('C:\Users\SLoNiK\appdata\roaming\acestream\');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Проверьте, если в расширениях браузеров есть AS Magic Player - удалите.

Vicarious 01-12-2014 22:30 2438237
Sandor, quarantine.zip отправил при помощи формы, отчет AdwCleaner прилагаю.

Sandor 02-12-2014 09:52 2438430
Раз уж вы самостоятельно все удаляли, нужно было и эту задачу удалить:
Цитата:
***** [ задачи ] *****

задачa Найдено : updater.exe
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Vicarious 02-12-2014 17:22 2438707
Sandor, да, оплошал, но вскоре удалил эту задачу, она была единственной что смог найти AdwCleaner. Логи повторного сканирования прилагаю.

Sandor 02-12-2014 17:25 2438709
Чисто. Проблема решена?

Vicarious 02-12-2014 18:10 2438733
Sandor, нет, процессы без юзеров и описании все равно есть.

thyrex 02-12-2014 23:36 2438840
Служба терминалов запущена?

Vicarious 03-12-2014 00:08 2438852
thyrex, если вы о svchost.exe, то нет, не запущена. На всякий случай прикрепляю скриншот процессов.

Sandor 03-12-2014 11:58 2438993
Vicarious, кроме вашего подозрения проблема как-то еще проявляется? Это нормальные системные процессы.

Vicarious 03-12-2014 14:40 2439111
Sandor, ну я в теме указал, что это подозрение на вирусы, спасибо что проверили, единственно у меня аваст выдал предупреждение с интервалом в несколько дней на .exe файлы, которые являются играми. Не знаю ложная это тревога или нет, вы ведь сказали что по логам все чисто на моем пк. Скажите, пожалуйста, ложное это срабатывание или нет, что бы мне не создавать новую темы и быть спокойным(скриншот прилагаю). Думаю, проблему с процессами можно считать решенной, огромное вам спасибо.

Sandor 03-12-2014 14:50 2439115
Susp в скобках означает Suspicious - Подозрительный. Если сомневаетесь в файле, можете проверить его на virustotal.


Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Vicarious 03-12-2014 15:31 2439139
Sandor, проверил на вирустотал - ничего подозрительного. Отчет прилагаю.

Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 03.12.2014 16:28:22
Run directory: C:\Users\SLoNiK\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 8.4
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) HomePremium Lang: Russian(0419)
Дата установки ОС: 16.07.2012 10:41:30
Статус лицензии: Windows(R) 7, HomePremium edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [97.6 Гб] Занято: [78 Гб] Свободно: [19.6 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Автоматическое обновление отключено
Дата установки обновлений: 2014-01-04 23:39:48
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
avast! Antivirus
Антивирус обновлен
-------------Firewall_WMI-------------------------
avast! Antivirus
-------------AntiSpyware_WMI----------------------
Windows Defender
avast! Antivirus
-------------AntiVirusFirewallInstall-------------
Avast Free Antivirus v.10.0.2208
-------------OtherUtilities-----------------------
CCleaner v.3.25
Malwarebytes Anti-Malware, версия 2.0.3.1025 v.2.0.3.1025
-------------Java---------------------------------
Java 7 Update 21 (64-bit) v.7.0.210 Внимание! Скачать обновления
^Скачайте jre-7u72-windows-x64.exe^
Java 8 Update 11 (64-bit) v.8.0.110 Внимание! Скачать обновления
^Скачайте jre-8u25-windows-x64.exe^
Java SE Development Kit 8 Update 11 (64-bit) v.8.0.110 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u25-windows-x64.exe)^
Java 7 Update 71 v.7.0.710 Внимание! Скачать обновления
^Скачайте jre-7u72-windows-i586.exe^
Java Auto Updater v.2.8.11.12
-------------AdobeProduction----------------------
Adobe Flash Player 15 ActiveX v.15.0.0.239
Adobe Flash Player 15 Plugin v.15.0.0.239
Adobe Reader XI (11.0.09) - Russian v.11.0.09
-------------Browser------------------------------
Google Chrome v.39.0.2171.71
Mozilla Firefox 23.0.1 (x86 ru) v.23.0.1 Внимание! Скачать обновления
Opera 12.17 v.12.17.1863
-------------RunningProcess-----------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.39.0.2171.71
-------------EndLog-------------------------------

Sandor 03-12-2014 15:36 2439140
Все, включая обновление IE, следует проделать.

Удачи!

Vicarious 03-12-2014 16:01 2439158
Sandor, еще раз огромное спасибо вам за вашу помощь, у меня остался еще один только что возникший вопрос - обнаружил у себя в учетных записях запись ASP.NET Machine Account, как говорится погуглил и вычитал что в принципе эту запись можно удалять, но у некоторых её удаление вызвало проблемы с работой в ОС. Ничего страшного если она у меня будет или же её стоит удалить?

Sandor 03-12-2014 16:02 2439159
Ничего страшного, пусть живет.

Vicarious 03-12-2014 16:19 2439169
Sandor, понял, удачи вам!


Время: 03:14.

Время: 03:14.
© OSzone.net 2001-