Перейти к содержанию

Recommended Posts

Слава

На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава
Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

avz_log.txt

avz_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

Из бросающегося в глаза -- "Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe logon.exe""

Скиньте, пожалуйста, мне лог Cureit.log (он находится в C:\Documents and Settings\<Имя пользователя>\Doctor Web) в почту на [email protected] Плюс к этому в AVZ выполните "Исследование системы" (меню Файл -->Исследование системы). Полученный лог avz_sysinfo.htm скиньте туда же.

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Найдите параметр Shell и исправьте его значение с explorer.exe logon.exe на explorer.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm? Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm?

Чем могу. Да пришлите, пожалуйста, потому как я не особо доверяю Malwarebytes' Anti-Malware.

Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Проверьте, пожалуйста, по какому пути находится этот файл. По C:\WINDOWS\system32\wbem\ ? Если да, то это нормально. Если нет, есть повод разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Dr.Web CureIt при повторной проверке после Malwarebytes Anti-Malware ничего не обнаружил, благодарю Вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

В свойствах файла -- Описание: WMI. WMI == Windows Management Instrumentation, инструментарий управления Windows. Подробнее тут. Или тут (на английском).

По логам: в avz_sysinfo.htm присутствует следующая запись:

===

C:\WINDOWS\system32\ntos.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit

===

Самого файла-носителя на диске нет (в логе Cureit.log упоминаний о нём нет), т.е. данная запись в реестре является мусорной. Откройте в редакторе реестра ветвь [HKEY_USERS\ .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] и удалите ключ, значение которого C:\WINDOWS\system32\ntos.exe.

Встречный вопрос -- проверку CureIt! Вы проводили при запущенном AVZ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • skanisweete
      free credit report gov pjx get my credit report mql credit karma credit score xcw freecreditreport gff mortgage credit report bwr how to dispute credit report items tmj how to improve my credit score fpa my credit score ffg mortgage credit report cre equifax credit report wij transunion credit report free mlt free credit reports xpp transunion credit score eoo what is my credit score ybn credit scores oub free credit report and scores psu how to raise credit score nel transunion credit report free vkn check credit score abj free credit credit score

      xvqot ivwln aasup opdlb oeyko molzk ivsxb ietsv xnwhg itxrw cooit lqavz phzpm drlvr hobzh cforg xdiym rcmkf uwqhn hyfqc zkuvo
    • Ego Dekker
      Антивирусы для macOS были обновлены до версии 6.10.460.1. Улучшена частичная совместимость с macOS Big Sur (11.0).
    • PR55.RP55
      Хотелось бы _нормально видеть записи в категории: WMI Текст просто не видно, чтобы его посмотреть приходиться копировать текст в Notepad.  
    • demkd
      По идее эта DLL будет в разделе "Потока на базе DLL в известных процессах" с пометкой что файла уже нет на диске, но вообще это надо проверять, я не тестировал этот механизм внедрения.
    • santy
      В TrickBot v100 добавлены новые функции В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.   https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/ https://www.bleepingcomputer.com/news/security/trickbot-malware-uses-obfuscated-windows-batch-script-to-evade-detection/ ----------- реально такое увидеть через uVS? Как это может выглядеть в образе uVS, если будет активность TrickBot?
×