Решена шпион в компьютере

Статус
В этой теме нельзя размещать новые ответы.

damon

Новый пользователь
Сообщения
31
Реакции
0
Здравствуйте!

Есть подозрение, что кто-то имеет доступ к компьютеру: приложения сами закрываются, или происходит сбой в их работе.
Также нельзя проверить компьютер на вирусы с внешних носителей - usb порт и cd-rom.
При переустановке Windows все симптомы сохраняются.
Вчера обнаружил, что не работает восстановление системы: системе не удается найти файл "c:\windows\system32\Restore\rstrui.exe"

Пожалуйста, помогите решить проблему.

В прикрепленных файлах:

virusinfo_syscure test 1.zip сделан до обновления баз AVZ
virusinfo_syscure test 2.zip сделан после обновления баз AVZ
 

Вложения

  • virusinfo_syscure test 1.zip
    38.6 KB · Просмотры: 0
  • virusinfo_syscure test 2.zip
    34.7 KB · Просмотры: 3
  • virusinfo_syscheck.zip
    35.6 KB · Просмотры: 1
  • info.txt
    12.9 KB · Просмотры: 1
  • log.txt
    27.8 KB · Просмотры: 3
Приветствую damon, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe','');
 DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.exe','32');
 BC_ImportALL;
ExecuteSysClean;
 BC_Activate;
 ExecuteRepair(9);
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
 
Посылаю лог.
 

Вложения

  • MBAM-log-2013-08-06 (04-00-05).txt
    13.7 KB · Просмотры: 3
Удалите в MBAM:
Код:
Обнаруженные ключи в реестре:  6
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\housecalllauncher.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbam.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mbamgui.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spybotsd.exe (Security.Hijack) -> Действие не было предпринято.

Обнаруженные папки:  2
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\Documents and Settings\user 3\Application Data\RECYCLER (Worm.AutoRun) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4A5ZG0FT\l[1].0xe (Trojan.Agent.BDAVGen) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4A5ZG0FT\l[2].0xe (Trojan.Agent.BDAVGen) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\4A5ZG0FT\scan[1].0xe (Trojan.Zbot.HE) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6EZ43U77\l2[1].0xe (Trojan.Agent.BDAVGen) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6EZ43U77\scan[1].0xe (Trojan.Zbot.HE) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PVF59DZW\ke[1].0xe (Trojan.Agent.CD) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PVF59DZW\l[1].0xe (Trojan.Agent.BDAVGen) -> Действие не было предпринято.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PVF59DZW\s[1].0xe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\Documents and Settings\user 3\Local Settings\Temporary Internet Files\Content.IE5\4A5ZG0FT\l[1].0xe (Trojan.Agent.BDAVGen) -> Действие не было предпринято.
C:\Documents and Settings\user 3\Local Settings\Temporary Internet Files\Content.IE5\6EZ43U77\d[1].0xe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\Documents and Settings\user 3\Local Settings\Temporary Internet Files\Content.IE5\PVF59DZW\s[1].0xe (Trojan.Agent.ED) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\hostsn.0xe (Worm.AutoRun.Gen) -> Действие не было предпринято.

Добавлено через 32 секунды
Подготовьте лог UVS
 
файлы удалил, лог прикреплен.
 

Вложения

  • IBM-8B8A95D092C_2013-08-06_21-02-55.rar
    311.2 KB · Просмотры: 1
Файл
Код:
C:\PROGRAM FILES\COMMON FILES\TRUSTPORT\BIN\WSCTOOL.EXE

пришлите в карантин по этой инструкции.

Добавлено через 20 минут 40 секунд
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v3.80.15 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    
    OFFSGNSAVE
    regt 12
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\TRUSTPORT\BIN\WSCTOOL.EXE
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.
 
Все архивы отправил.
 
1) сделайте новый лог uVS.
2) не могу найти на ваш карантин, загрузите его сюда и продублируйте мне в ЛС.

Добавлено через 30 секунд
и через форму карантин тоже ещё раз продублируйте.
 
Лог сделал.
Файлы послал через л/c и еще раз послал на адрес карантина.
 

Вложения

  • IBM-8B8A95D092C_2013-08-08_17-24-20.rar
    311 KB · Просмотры: 1
что с проблемой ?
 
Здравствуйте!

Да проблемы остались.

В частности:
1) выполняется только цветная печать из браузера, хотя указатель стоит на черно-белой.
2) Находящийся в автозагрузке "Process Explorer" слишком долго загружается. Раньше появлялся один из первых, сейчас появляется один из последних.
3) В iTunes не воспроизводятся 3 песни из приобретенного альбома. При попытке их воспроизведения появляется окно с просьбой авторизоваться, хотя компьютер уже авторизован.
4) Шрифт постоянно переключается на русский.
5) Яндекс.Интернетометр выдает информацию о браузере Mozilla и Netskape:
информация о браузере:

appCodeName : Mozilla
appName : Netscape
userAgent : Mozilla/5.0 (Windows NT 5.1)

Хотя у меня Chrome. Также в браузере отсутствует знак "+" на значке "новая вкладка" вверху, что странно.
Еще Chrome иногда зависает на несколько секунд, когда щелкаешь по адресной строке и пытаешься что-то записать.

Добавлено через 8 минут 3 секунды
Еще в корзине есть какие-то 8 файлов, которые не показываются, но когда нажимаешь на "Очистить корзину" появляется надпись "Вы действительно хотите удалить эти 8 файлов?" Хотя никаких файлов в папке нет, белое поле.
Когда нажимаешь "Да", появляется надпись:
"Не удается удалить папку Dc513. Нет доступа. Диск может быть переполнен или защищен от записи, либо файл занят другим приложением"
 
С корзиной это довольно популярный баг виндовс.

Выполните скрипт в AVZ

Код:
begin
 ExecuteWizard('SCU', 2, 2, true);
 RebootWindows(false);
end.

после этого ещё проверьте проблему с корзиной и браузером. А так эти проблемы не похожи на вирусные, советую создать новую тему тут и попытаться решить проблему в том разделе. Не знаю как там в мозиле и хромоноге, но в Опере в настройках браузера можно указать маскировку под другой браузер. Возможно стоит покопаться в настройках, в крайнем случае полностью переустановить браузер с очисткой предыдущих настроек.

Добавлено через 38 секунд
деинсталируйте MBAM

и ещё один лог для надёжности сделаем:
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."
 
Последнее редактирование:
Здравствуйте!
Спасибо за советы, с корзиной помогло, с браузером еще не пробовал.

ComboFix запускал 2 раза, но он виснет на этапе сканирования, которое "обычно занимает 10 минут". В ближайшее время удалю ComboFix по инструкции и запущу в 3-й раз. По результатам - отпишусь.
 
попробуйте просканировать комбофксом в безопасным режимом.
 
Добрый день!

Удалил антивирус и снова попробовал просканировать ComboFix. Но он опять завис примерно через 10 минут после начала.

Что имеется ввиду под "безопасным режимом"? Что еще нужно отключить?

Добавлено через 1 час 42 минуты 28 секунд
Проверил систему с помощью "Emisoft Anti-Malware".
Результаты в прикрепленном файле. Ничего не удалял.
 
файл
 

Вложения

  • quarantine_130827-041510.txt
    803 байт · Просмотры: 1
Проверил систему с помощью "Emisoft Anti-Malware".
Результаты в прикрепленном файле. Ничего не удалял.
удалите только
Код:
27.08.2013 4:08:06	C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6EZ43U77\b[1].0xe	Помещено	Trojan.Generic.KDV.924531 (B)
27.08.2013 4:08:05	C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\PW8EPB8J\b[1].0xe	Помещено	Trojan.Generic.KDV.924531 (B)
27.08.2013 4:08:03	C:\Program Files\Common Files\CreativeAudio.{2227A280-3AEA-1069-A2DE-08002B30309D}\ftwrrgoyt.0xe	Помещено	Trojan.Generic.KDV.924531 (B)

Что имеется ввиду под "безопасным режимом"? Что еще нужно отключить?
https://safezone.cc/forum/showthread.php?t=19645
 
Здравствуйте!

Файлы удалил.

ComboFix в безопасном режиме тоже зависает.

В Crome цветная печать по-прежнему не отключается.
 
ComboFix запускал 2 раза, но он виснет на этапе сканирования, которое "обычно занимает 10 минут"
может просто надо было подольше подождать ?

Насчёт Хрома попробуйте удалить его с зачисткой профиля и установить заново (либо спросить в соседнем разделе, может кто подскажет, что в настройках надо менять. Я Хромом не пользуюсь, так что не знаю).

Добавлено через 31 секунду
какие ещё проблемы остались ?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу