|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Троян(Снова и снова) |
|
|
Троян(Снова и снова)
|
Новый участник Сообщения: 23 |
Профиль | Отправить PM | Цитировать
Ссылка на мою предыдущую тему - http://forum.oszone.net/thread-326274.html
Ссылка на соседнюю тему от человека с моей текущей проблемой - http://forum.oszone.net/thread-326215.html Ничего не понимаю, в прошлый раз вроде бы все почистили ничего не осталось, закрыли все уязвимости и с тех пор я ничего особо на компьютере и не делал. Весь следующий день только читал ваш форум, нигде не лазал, ни во что не играл, ничего не качал, не устанавливал. А весь день после этого провел за чисткой компьютера от пыли. Откуда тогда могли взяться новые проблемы, ума не приложу. Или они были с самого начала, но в каком то спящем режиме, до решения предыдущей проблемы? После чистки компьютера заметил, что он как то медленно работает и шумит. Заглянул диспетчер задач и увидел резкие скачки загрузки ЦП до открытия диспетчера, успел одним глазом увидеть, что это было тот же самый процесс как у человека из темы, которую я указал. Проверил CureIT и действительно он находит TrojanDownloader. Сделал очередной автолог, с закрытым диспетчером это заняло раз в 10 больше времени чем обычно, увидел что он тоже жалуется на этот csrss.exe. Создал данную тему, чтобы не захламлять старую, ведь по сути та проблема решена, а это другая. Как всегда надеюсь на вашу скорую помощь, заранее благодарен! |
|
Отправлено: 06:52, 27-04-2017 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Это странно, я еще раз пересмотрел предыдущие логи, там все в порядке. Вы исключаете, что кто-то в Ваше отсутствие мог что-нибудь скачать? Вредонос на этот раз - другой. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Windows\winsxslog\SystemIIS.exe'); TerminateProcessByName('c:\progra~1\tkxsamzk\dllhost.exe'); TerminateProcessByName('c:\windows\csrss.exe'); StopService('TKXSAMZK'); QuarantineFile('C:\Windows\winsxslog\SystemIIS.exe',''); QuarantineFile('c:\progra~1\tkxsamzk\dllhost.exe',''); QuarantineFile('c:\windows\csrss.exe', ''); DeleteFile('c:\progra~1\tkxsamzk\dllhost.exe','32'); DeleteFile('C:\Windows\winsxslog\SystemIIS.exe','32'); DeleteFile('c:\windows\csrss.exe', '32'); DeleteService('TKXSAMZK'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. |
------- Отправлено: 08:36, 27-04-2017 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать
Сделано.
Да, я исключаю возможность каких-либо действий в мое отсутствие, т.к. я единственный пользователь данного ПК. Единственное чем я пользовался после предыдущего лечения - это официальные программы, для того чтобы пообщаться с друзьями. А именно: Skype, Discord, Steam и Battle.net. Как я понял данный вредонос из той же породы биткоин майнеров, что и предыдущий? Не мог ли этот загрузчик троянов тихо прятаться где-то, пока мы не вылечили предыдущий, а потом активироваться? |
||||
Отправлено: 09:09, 27-04-2017 | #3 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Цитата MeShuRa:
Цитата MeShuRa:
Посмотрим еще логи FRST: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
||
------- Отправлено: 09:20, 27-04-2017 | #4 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать
Сделано.
А можно ли как-нибудь вычислить/отследить, откуда появились данные вредоносы? Чтобы понять, какие мои действия привели к их появлению, во избежания повторного заражения. |
|||||||||
Отправлено: 09:38, 27-04-2017 | #5 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Не хватает файла FRST.txt
|
------- Отправлено: 09:40, 27-04-2017 | #6 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать
Хм, его размер превышает лимит данного форума. Закинул его в архив, ну или предложите свой вариант.
|
||||
Отправлено: 09:42, 27-04-2017 | #7 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Сделайте еще полную проверку MBAM. (Сканирует долго).
|
------- Отправлено: 10:06, 27-04-2017 | #8 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать
Сделано.
25 секунд, не так уж долго. Сижу с открытым окном этих трех угроз, стоит их поместить в карантин или нажать отмена? |
||||
Последний раз редактировалось MeShuRa, 27-04-2017 в 10:32. Отправлено: 10:21, 27-04-2017 | #9 |
Ветеран Сообщения: 5255
|
Профиль | Отправить PM | Цитировать Удалите все найденное.
Еще раз сделайте лог SecurityCheck. Цитата MeShuRa:
|
|
------- Отправлено: 10:33, 27-04-2017 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
троян в компьютере | simsa | Лечение систем от вредоносных программ | 24 | 16-09-2014 10:20 | |
Троян маячок 5 | AnJoy | Лечение систем от вредоносных программ | 1 | 27-02-2012 21:53 | |
Троян | banzai_70 | Лечение систем от вредоносных программ | 44 | 24-01-2012 20:54 | |
[решено] троян? | alexim | Лечение систем от вредоносных программ | 20 | 25-02-2011 21:46 | |
Снова и снова "обнаружено новое устройство" | Guest | Microsoft Windows 95/98/Me (архив) | 4 | 24-06-2003 13:58 |
|