Решена обнаружен Win32/Sality

Статус
В этой теме нельзя размещать новые ответы.

VladFaun

Новый пользователь
Сообщения
17
Реакции
0
Доброго времени суток, вчера на ноуте были обнаружены файлы Win32/Sality программой Микрософт Секьюрити Эсеншиал и перемещены в карантин в котором я их после удалил, после чего немного узнав о даном вирусе в гугле решил просканировать ноут Dr.Web cureit ( после скана сохранил лог, как и после лечения) который обнаружил 36 зараженных файлов и угроз, после провел лечение. Сейчас опасаюсь остатков возможных вирусов и прошу Вас просмотреть лог, есть ли ещё угрозы моей системе. Так как я нахожусь можно сказать в дали от цивилизации, и возможности в случае чего заменить убитый винт или вызвать специалиста нету)) нужно максимально следить за защитой.
 

Вложения

  • CollectionLog-2020.04.10-10.56.zip
    90.3 KB · Просмотры: 7
  • Скан Др.Вебом.rar
    236.4 KB · Просмотры: 4
1) Включите восстановление системы.
2) У вас используется Microsoft Security Essentials, ESET Security, Bitdefender. Как в фильме "Горец" остаться должен только один. Остальные удалите по инструкции https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/
3) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
4) Сделайте свежие логи.
 
Вотс, сделал как и сказали)
 

Вложения

  • CollectionLog-2020.04.10-17.23.zip
    65.8 KB · Просмотры: 8
  • ClearLNK-2020.04.10_16.56.58.rar
    852 байт · Просмотры: 5
Что с проблемой?
 
Ну пока всё тихо) больше проблем не обнаруживалось, интересно что скажут по итогам логов. :Crazy:
 
Ничего вредоносного не вижу. Вы пока понаблюдайте, а пока финальные рекомендации.

Подготовьте лог SecurityCheck by glax24

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
+ "Пофиксите" в HijackThis:

Код:
O4 - MSConfig\startupreg: Windscribe [command] = (HKCU) (2019/12/24) (no file)
O9 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Task: ASC12_PerformanceMonitor - C:\Program Files\IObit\Advanced SystemCare\Monitor.exe /Task (file missing)
O22 - Task: ASC12_SkipUac_Я - C:\Program Files\IObit\Advanced SystemCare\ASC.exe /SkipUac (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1442685127-1893001884-1650790658-1000 - C:\Users\Я\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O23 - Service S2: Служба Bitdefender Vpn - (BdVpnService) - C:\Program Files\Bitdefender\Bitdefender VPN\bdvpnservice.exe "service" (file missing)
O23 - Service S3: ESET Firewall Helper - (ekrnEpfw) - C:\Program Files\ESET\ESET Security\ekrn.exe  (file missing)

Если DNS
10.74.32.5
10.74.32.6
не знакомы и Internet Assigned Numbers Authority не ваш провайдер, то также пофиксить
"Пофиксите" в HijackThis:
Код:
O17 - HKLM\System\CCS\Services\Tcpip\..\{90286B0A-FB33-4632-9B5F-C2AC5A15CD9B}: [NameServer] = 10.74.32.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{90286B0A-FB33-4632-9B5F-C2AC5A15CD9B}: [NameServer] = 10.74.32.6
и исправить настройки DNS в роутере.

+ Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 
профиксил, вот последние логи
 

Вложения

  • Логи sfc.cbs.zip
    71 KB · Просмотры: 5
1) DNS вам были знакомы? Если нет, то в роутере исправили? И свежий лог Хиджака покажите.

2) У вас там целый ряд файлов был повреждён, вроде восстановило из хранилища, но надо перепроверить. Запустите ещё раз батник и на всякий случай лучше сразу рассширенную проверку и с подключённым интернетом.

3) Перепроверьте вручную, вот такой файл у вас есть?
Код:
C:\Program Files\Internet Explorer\iexplore.exe
 
Добрый вечер) Днс мой, такого ексешника нету, и свежий лог Жиджа- прикрепил)
 

Вложения

  • HiJackThis.zip
    3.8 KB · Просмотры: 4
такого ексешника нету
А должен быть, не понятно почему проверка системных файлов его отсутствие не видит.

И свежие логи проверки батником после запуска расширенной проверки забыли прикрепить.
 
Доброе утро. Прошу извинить, не понял, какой программой именно нужно сделать логи после расширенной проверки? что есмь батник)?
 
Добрый день, в общем, скачал скрипт, запустил, нажал 2 пункт расширенной проверки, мне кинуло страницу майкрософт для скачивания обновы винды, скачал- запустил- хер. Включил в настройках разрешение на обновление системы, -начало обновлять (само), без ранее скачанного обновления) ну я посмотрел, думаю -ну окей) -само знает чё ему надо); обновило), запустил опять сфк сканнау, нажал 2 пункт- хер, опять кидает на сайт с обновлением, - скачиваю) запускаю- хер, не запускается))) пишет - обновление не применимо для этого компьютера) круг замкнулся) что посоветуете дальше делать?
А дальше ещё интереснее, решил сделать последний лог автологером и перед запуском полез снимать защиту с макрософт секрьюрити, а тут - опа! старый друг, виновник торжества) скриншот в студию)
После провел проверку автологером, сделал лог сфк и вот , что скажете господа?)
А вот логCBS был некорректен внутри и почему то при заливке сюда архива постоянно писало о его большом размере..(
 

Вложения

  • вирус.jpg
    вирус.jpg
    120.3 KB · Просмотры: 101
  • CollectionLog-2020.04.14-12.14.zip
    68.7 KB · Просмотры: 4
  • sfcdoc.zip
    640 байт · Просмотры: 3
Очень похоже на ложное срабатывание, или на старый детект. На какие файлы ругается?
 
1) Попробуйте скачать обновление по этой ссылке и поставить http://download.microsoft.com/downl...B9C-6D8EFE7313E6/Windows6.1-KB2966583-x86.msu
2) Пару зараженных файлов добавьте в карантин по этой инструкции закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и пришлите ссылку на скачивание мне в ЛС.
3) Дополнительно cкачайте отсюда архив "UpdateClean.zip", распакуйте, запустите и выполните первый пункт. В папке со скриптом должен появиться файл "Packages.txt" - прикрепите его.

И по поводу архива с логами от батника, в архиве только лог sfcdoc.log, а у вас там рядом должен быть ещё второй.
 
Последнее редактирование:
+ нажмите Windows + R -> в открывшемся окне введите iexplore.exe -> нажмите Enter. Проверьте откроется Internet Explorer?
 
Последнее редактирование:
Информация
Часть сообщений выделены в отдельную тему.


@VladFaun, антивирус по-прежнему находит зараженные файлы?
 
Последнее редактирование:
Да, причем добавить его в карантин согласно инструкции не удается, + появился ещё один -вот.
Майкрософт секьюрити начал регулярно снимать сам с себя защиту, (особенно при работе с документами при открытом Word, может конечно совпадение..?), печатая данный текст, выбило 2 полных строки хаотичных букв, просто в один момент...
 

Вложения

  • троян.jpg
    троян.jpg
    83.7 KB · Просмотры: 90
Иобит бесполезная бесполезность, убирайте пока. Он только картину смазывает.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу