Решена Security Protection/defender.exe

[Wu-Tang]

Ездил к другу с жалобой на такую штуку:
Вот нашел кое-что нашел в гугле.

В обычном режиме ничего не дает сделать, в safe mode нормально.
Селится в allusers\appdata, как defender.exe и в реестре, в автозагрузке, больше нигде нет, все это зачищаю, нормально.
На следующий день человек звонит, мол опять, и так второй раз уже.
В avz все чисто.
Откуда он может появляться опять?

 

[thyrex]

Без логов сказать что-то определенное трудно

 

[Wu-Tang]

thyrex,
Вот я сегодня поеду к нему, что сделать нужно тогда?

 

[icotonev]

Это мошеннических (rogue) антивирусных программ..!

1.Перезагрузите компьютер в безопасном режиме с поддержкой сети (Safe Mode with Networking.)

1.Выполните следующие: Как использовать RKill by Grinler

2.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

 

[Wu-Tang]

icotonev,
А сам смогу в этом логе разобраться? Попробую, конечно, но прикреплю все равно...

Добавлено через 5 часов 42 минуты 1 секунду
Сегодня не получилось, завтра поеду, а на что смотреть в логе?

 

[thyrex]

Нам сбросьте. Мы сами посмотрим

 

[Wu-Tang]

Вот начал сканировать, минут 20 думаю будет идти.
Есть кто-н кто посмотрит?

 

[Wu-Tang]

Вот:

 

[Severnyj]

Удалите в MBAM все, кроме:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
d:\Windows\Setup\SCRIPTS\data\bootinst.exe (Malware.Packer.Gen) -> No action taken.

Потом подготовьте логи по правилам

 

[Wu-Tang]

Severnyj,
Вот такой лог нужен:

запустите AVZ, выберите в меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив скрипта №2. Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.

 

[Severnyj]

Да конечно, все, что написано в правилах, то и выполняйте

 

[Wu-Tang]

Вот:
Я ничего подозрительного уже не вижу.

 

[Severnyj]

Без лога RSIT сложно сказать, мне не нравиться вот это:

Ошибка LSP NameSpace: В описании отсутствует количество пространств имен
Ошибка LSP Protocol: В описании отсутствует количество протоколов
Внимание ! Обнаружены ошибки в LSP. Количество ошибок - 2
Возможны проблемы при работе с сетью и Интернет

Запишите ваши сетевые настройки, востпользуйтесь утилитой Winsockxpfix

- данная утилита исправит данные ошибки, но сбросит все настройки сетевых устройств по умолчанию.

Или воспользуйтесь данной статьей на сайте Microsoft

 

[Wu-Tang]

Severnyj,
Аааа, да эту ошибку avz постоянно выдает, даже когда чистая ось.
Может потому что я патчил tcpip.sys?

 

[Wu-Tang]

Severnyj,
А так все порядке, не считая этого?

 

[Severnyj]

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:

Adobe Flash Player
Adobe Reader
Java

и проч.

Так кроме нарушений в Winsock ничего подозрительного.

 

[Wu-Tang]

Смените все пароли ICQ, Контакт, Почта итд

А что это могло отразиться на паролях?

Необходимо очистить ранее созданную точку восстановления и создать новую:

А оно у меня вовсе отключено изначально, тк толку от него 0.

Обновите до последних версий программы, которые могут быть причиной заражения из-за уязвимостей, например:

Даже они могут быть причиной заражения?

Так кроме нарушений в Winsock ничего подозрительного.

Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?

Ну вот столько времени уже не появляется, как друг сказал, значит все зачищено.
Спасибо за помощь!

 

[Severnyj]

А что это могло отразиться на паролях?

А Вы уверены, что данный зловред не вел за Вами слежку?

Даже они могут быть причиной заражения?

Конечно, советую посетить: http://www.securitylab.ru/vulnerability/

Вот интересно, это в кэше было и atf cleaner вычистил все или его убрал malwarebytes?

Скорее MBAM!

 

[Wu-Tang]

А Вы уверены, что данный зловред не вел за Вами слежку?

Нет, не уверен, поэтому и спросил.
Спасибо.