Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   подозрение на вирус (http://forum.oszone.net/showthread.php?t=326427)

wShuher 01-05-2017 20:51 2733415
подозрение на вирус
 
Вложений: 2
здравствуйте, знатоки)
началось все с того, что скачал прогу "Аура леса". там есть опция выключения ноута в определенной время. пару раз отработало нормально, а в последний раз просыпаюсь утром, а ноут работает и висит ошибка. точно не помню какая... перезагружаюсь, вижу антивирус avast не стартует, из папки тоже не загружается. переустановкой антивируса все-таки добился загрузки. avast ничего не находит. казалось бы чего еще надо, но решил проверить через avz. лог прикладываю. подозрительное начинается со строчки ">>>> Обнаружена маскировка процесса 332 ?" и ниже. лог AutoLogger тоже прикладываю. подскажите, пожалуйста, есть ли повод беспокоится?

shestale 02-05-2017 18:11 2733549
Цитата:
O22 - Task (Disabled): Пробуждение - D:\Documents\vk-japan.exe
Это задание вам знакомо?
+
Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.
+
Подготовьте лог AdwCleaner.

wShuher 03-05-2017 11:54 2733720
Вложений: 2
Цитата:
Цитата shestale
Цитата:
O22 - Task (Disabled): Пробуждение - D:\Documents\vk-japan.exe
Это задание вам знакомо? »
да, я сам создал это задание
логи прикрепил

Sandor 03-05-2017 15:52 2733788
wShuher, одновременное лечение на разных форумах: 1. сбивает с толку консультанта и 2. может повредить Вашей же системе.

wShuher 03-05-2017 16:03 2733789
Sandor, просто раньше довольно быстро отвечали, а в этот раз затянулось... подумал, что может этот форум потихоньку вымирает... вот и написал в другом. прошу прощения, если кого сбил с толка)

shestale 03-05-2017 16:52 2733807
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.

wShuher 03-05-2017 19:28 2733846
Вложений: 1
готово

shestale 04-05-2017 06:32 2733952
Подготовьте логи FRST

wShuher 04-05-2017 10:15 2734012
Вложений: 3
готово

shestale 04-05-2017 10:28 2734017
Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.google.ru/","hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=820328"
EmptyTemp:
Reboot:
end
+
Почистите кэш и куки в браузерах.

wShuher 04-05-2017 11:10 2734031
Вложений: 1
готово

shestale 04-05-2017 11:24 2734037
Хорошо. Если проблем больше нет, тогда
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

wShuher 04-05-2017 12:08 2734050
все сделал, спасибо.
SecurityCheck log

SecurityCheck by glax24 & Severnyj v.1.4.0.49 [15.04.17]
WebSite: www.safezone.cc
DateLog: 04.05.2017 11:59:12
Path starting: C:\Users\Shuher\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Shuher
VersionXML: 4.15is-01.05.2017
___________________________________________________________________________

Windows 10(6.3.10240) (x64) Professional Lang: English(0409)
Installation date OS: 16.07.2015 21:01:55
LicenseStatus: Windows(R), Professional edition The machine is permanently activated.
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
SystemDrive: C: FS: [NTFS] Capacity: [97.6 Gb] Used: [44.9 Gb] Free: [52.7 Gb]
------------------------------- [ Windows ] -------------------------------
Extended support has ended Warning! Download Update
Internet Explorer 11.0.10240.16431 Warning! Download Update
Online installation. Last version available when Windows update is enabled throught the Internet.
User Account Control enabled
Центр обновления Windows (wuauserv) - The service has stopped
Центр обеспечения безопасности (wscsvc) - The service is running
Удаленный реестр (RemoteRegistry) - The service has stopped
Обнаружение SSDP (SSDPSRV) - The service is running
Службы удаленных рабочих столов (TermService) - The service has stopped
Служба удаленного управления Windows (WS-Management) (WinRM) - The service has stopped
System Restore Disable
---------------------------- [ Antivirus_WMI ] ----------------------------
Avast Antivirus (disabled and out of date)
Windows Defender (disabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - The service is running
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (disabled and up to date)
Avast Antivirus (disabled and out of date)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.17.3.2291
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 15.07 beta (x64) v.15.07 Warning! Download Update
Uninstall old version and install new one.
TeamViewer 10 v.10.0.50527 A Warning! Download Update
VLC media player v.2.2.4
OpenOffice 4.1.2 v.4.12.9782 Warning! Download Update
Microsoft Silverlight v.5.1.20513.0 Warning! Download Update
TeamViewer 10 (TeamViewer) - The service has stopped
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.26 v.7.26.101 Warning! Download Update
^Optional update.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Warning! P2P-client.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Warning! Download Update
Uninstall old version and install new one (jre-8u131-windows-x64.exe).
Java SE Development Kit 7 Update 79 (64-bit) v.1.7.0.790 Warning! This software is no longer supported. Please uninstall it and use Java SDK 8 (jdk-8u131-windows-x64.exe).
Java SE Development Kit 8 Update 51 (64-bit) v.8.0.510.16 Warning! Download Update
Uninstall old version and install new one (jdk-8u131-windows-x64.exe).
------------------------------- [ Browser ] -------------------------------
Google Chrome v.57.0.2987.133 Warning! Download Update
Mozilla Firefox 53.0 (x86 ru) v.53.0
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 38.3.0 (x86 ru) v.38.3.0 Warning! Download Update
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.57.0.2987.133
D:\Program Files (x86)\Tor Browser\Browser\TorBrowser\Tor\tor.exe v.0.0.0.0
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - The service is running
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.3.3443.0
aswbIDSAgent (aswbIDSAgent) - The service has stopped
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.17.3.3443.0
Служба Защитника Windows (WinDefend) - The service has stopped
Служба проверки сети Защитника Windows (WdNisSvc) - The service has stopped
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.1.1f1 Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
TuneUp Utilities 2014 v.14.0.1000.353 Warning! Suspected demo version of anti-spyware or optimization program - scareware or badware. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
TuneUp Utilities 2014 (en-US) v.14.0.1000.353 << Hidden Warning! Suspected demo version of anti-spyware or optimization program - scareware or badware. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
----------------------------- [ End of Log ] ------------------------------


но проблема, из-за которой я волновался, не ушла
Лог из AVZ

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 332 ?
>>>> Обнаружена маскировка процесса 480 ?
>>>> Обнаружена маскировка процесса 580 ?
>>>> Обнаружена маскировка процесса 596 ?
>>>> Обнаружена маскировка процесса 644 ?
>>>> Обнаружена маскировка процесса 652 ?
>>>> Обнаружена маскировка процесса 720 ?
>>>> Обнаружена маскировка процесса 808 ?
>>>> Обнаружена маскировка процесса 864 ?
>>>> Обнаружена маскировка процесса 964 ?
>>>> Обнаружена маскировка процесса 1012 ?
>>>> Обнаружена маскировка процесса 72 ?
>>>> Обнаружена маскировка процесса 300 ?
>>>> Обнаружена маскировка процесса 500 ?
>>>> Обнаружена маскировка процесса 880 ?
>>>> Обнаружена маскировка процесса 1040 ?
>>>> Обнаружена маскировка процесса 1088 ?
>>>> Обнаружена маскировка процесса 1192 ?
>>>> Обнаружена маскировка процесса 1312 ?
>>>> Обнаружена маскировка процесса 1408 ?
>>>> Обнаружена маскировка процесса 1440 ?
>>>> Обнаружена маскировка процесса 1452 ?
>>>> Обнаружена маскировка процесса 1608 ?
>>>> Обнаружена маскировка процесса 1728 ?
>>>> Обнаружена маскировка процесса 1956 ?
>>>> Обнаружена маскировка процесса 2024 ?
>>>> Обнаружена маскировка процесса 1484 ?
>>>> Обнаружена маскировка процесса 2108 ?
>>>> Обнаружена маскировка процесса 2384 ?
>>>> Обнаружена маскировка процесса 2432 ?
>>>> Обнаружена маскировка процесса 2524 ?
>>>> Обнаружена маскировка процесса 2132 ?
>>>> Обнаружена маскировка процесса 2320 ?
>>>> Обнаружена маскировка процесса 2712 ?
>>>> Обнаружена маскировка процесса 3144 ?
>>>> Обнаружена маскировка процесса 3636 ?
>>>> Обнаружена маскировка процесса 3944 ?
>>>> Обнаружена маскировка процесса 3260 ?
>>>> Обнаружена маскировка процесса 3240 ?
>>>> Обнаружена маскировка процесса 3232 ?
>>>> Обнаружена маскировка процесса 3524 ?
>>>> Обнаружена маскировка процесса 4028 ?
>>>> Обнаружена маскировка процесса 3016 ?
>>>> Обнаружена маскировка процесса 4696 ?
>>>> Обнаружена маскировка процесса 4736 ?
>>>> Обнаружена маскировка процесса 4780 ?
>>>> Обнаружена маскировка процесса 5032 ?
>>>> Обнаружена маскировка процесса 5092 ?
>>>> Обнаружена маскировка процесса 4280 c:\program files\avast software\avast\avastui.exe
>>>> Обнаружена маскировка процесса 1268 c:\program files (x86)\yandex\punto switcher\punto.exe
>>>> Обнаружена маскировка процесса 2948 ?
>>>> Обнаружена маскировка процесса 4240 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 256 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 4540 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 2040 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 236 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 2812 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 1536 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 1100 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 2728 ?
>>>> Обнаружена маскировка процесса 5892 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 1764 ?
>>>> Обнаружена маскировка процесса 5984 ?
>>>> Обнаружена маскировка процесса 5316 ?
>>>> Обнаружена маскировка процесса 3492 ?
>>>> Обнаружена маскировка процесса 5480 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 1324 c:\program files (x86)\google\chrome\application\chrome.exe
>>>> Обнаружена маскировка процесса 1812 ?
>>>> Обнаружена маскировка процесса 5312 ?
>>>> Обнаружена маскировка процесса 4232 ?
>>>> Обнаружена маскировка процесса 2332 d:\program files (x86)\tor browser\browser\torbrowser\tor\tor.exe
>>>> Обнаружена маскировка процесса 5552 c:\users\shuher\appdata\roaming\utorrent\utorrent.exe
>>>> Обнаружена маскировка процесса 5948 c:\users\shuher\appdata\roaming\utorrent\updates\3.5.0_43580\utorrentie.exe
>>>> Обнаружена маскировка процесса 1748 c:\users\shuher\appdata\roaming\utorrent\updates\3.5.0_43580\utorrentie.exe
>>>> Обнаружена маскировка процесса 5932 ?
>>>> Обнаружена маскировка процесса 352 c:\users\shuher\desktop\avz4\avz.exe

настораживает, что процесс маскируется, да еще и не видно какая прога запущена

shestale 04-05-2017 17:03 2734115
Цитата:
Цитата wShuher
все сделал, спасибо. »
По ссылкам все обновили?
Цитата:
Цитата wShuher
настораживает, что процесс маскируется, да еще и не видно какая прога запущена »
Деинсталируйте TuneUp Utilities 2014 и проверьте.
+
Выполните рекомендации после лечения

wShuher 04-05-2017 18:39 2734145
все обновил, TuneUp удалил. avz все равно ругается
AVZ

1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe)
>>>> Обнаружена маскировка процесса 332 ?
>>>> Обнаружена маскировка процесса 488 ?
>>>> Обнаружена маскировка процесса 600 ?
>>>> Обнаружена маскировка процесса 636 ?
>>>> Обнаружена маскировка процесса 668 ?
>>>> Обнаружена маскировка процесса 676 ?
>>>> Обнаружена маскировка процесса 748 ?
>>>> Обнаружена маскировка процесса 812 ?
>>>> Обнаружена маскировка процесса 864 ?
>>>> Обнаружена маскировка процесса 964 ?
>>>> Обнаружена маскировка процесса 1000 ?
>>>> Обнаружена маскировка процесса 268 ?
>>>> Обнаружена маскировка процесса 360 ?
>>>> Обнаружена маскировка процесса 848 ?
>>>> Обнаружена маскировка процесса 1100 ?
>>>> Обнаружена маскировка процесса 1108 ?
>>>> Обнаружена маскировка процесса 1188 ?
>>>> Обнаружена маскировка процесса 1216 ?
>>>> Обнаружена маскировка процесса 1248 ?
>>>> Обнаружена маскировка процесса 1444 ?
>>>> Обнаружена маскировка процесса 1492 ?
>>>> Обнаружена маскировка процесса 1504 ?
>>>> Обнаружена маскировка процесса 1580 ?
>>>> Обнаружена маскировка процесса 1792 ?
>>>> Обнаружена маскировка процесса 1960 ?
>>>> Обнаружена маскировка процесса 1996 ?
>>>> Обнаружена маскировка процесса 2020 ?
>>>> Обнаружена маскировка процесса 1840 ?
>>>> Обнаружена маскировка процесса 2060 ?
>>>> Обнаружена маскировка процесса 2284 d:\program files (x86)\skype\updater\updater.exe
>>>> Обнаружена маскировка процесса 2432 ?
>>>> Обнаружена маскировка процесса 2472 ?
>>>> Обнаружена маскировка процесса 2688 c:\program files (x86)\teamviewer\teamviewer_service.exe
>>>> Обнаружена маскировка процесса 3052 ?
>>>> Обнаружена маскировка процесса 2160 ?
>>>> Обнаружена маскировка процесса 2724 ?
>>>> Обнаружена маскировка процесса 3696 ?
>>>> Обнаружена маскировка процесса 3740 ?
>>>> Обнаружена маскировка процесса 3336 ?
>>>> Обнаружена маскировка процесса 3448 ?
>>>> Обнаружена маскировка процесса 3628 ?
>>>> Обнаружена маскировка процесса 3884 ?
>>>> Обнаружена маскировка процесса 4108 ?
>>>> Обнаружена маскировка процесса 4132 ?
>>>> Обнаружена маскировка процесса 4648 ?
>>>> Обнаружена маскировка процесса 5028 ?
>>>> Обнаружена маскировка процесса 3276 ?
>>>> Обнаружена маскировка процесса 2772 ?
>>>> Обнаружена маскировка процесса 4988 ?
>>>> Обнаружена маскировка процесса 2748 c:\program files\avast software\avast\avastui.exe
>>>> Обнаружена маскировка процесса 4736 c:\program files (x86)\yandex\punto switcher\punto.exe
>>>> Обнаружена маскировка процесса 4708 ?
>>>> Обнаружена маскировка процесса 4884 ?
>>>> Обнаружена маскировка процесса 1804 c:\users\shuher\desktop\avz4\avz.exe

shestale 04-05-2017 19:00 2734151
Тогда скорее всего это от антивируса перехваты идут, т.к.
Цитата:
Цитата wShuher
Поиск перехватчиков API, работающих в KernelMode »
Не забивайте себе голову этими перехватами, это не малварь. У вас все чисто.

wShuher 04-05-2017 19:15 2734157
ок. спасибо за помощь

shestale 04-05-2017 19:17 2734158
Удачи!


Время: 12:38.

Время: 12:38.
© OSzone.net 2001-