Перейти к содержанию

Recommended Posts

Слава

На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава
Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

avz_log.txt

avz_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

Из бросающегося в глаза -- "Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe logon.exe""

Скиньте, пожалуйста, мне лог Cureit.log (он находится в C:\Documents and Settings\<Имя пользователя>\Doctor Web) в почту на mk500@yandex.ru. Плюс к этому в AVZ выполните "Исследование системы" (меню Файл -->Исследование системы). Полученный лог avz_sysinfo.htm скиньте туда же.

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Найдите параметр Shell и исправьте его значение с explorer.exe logon.exe на explorer.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm? Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm?

Чем могу. Да пришлите, пожалуйста, потому как я не особо доверяю Malwarebytes' Anti-Malware.

Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Проверьте, пожалуйста, по какому пути находится этот файл. По C:\WINDOWS\system32\wbem\ ? Если да, то это нормально. Если нет, есть повод разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Dr.Web CureIt при повторной проверке после Malwarebytes Anti-Malware ничего не обнаружил, благодарю Вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

В свойствах файла -- Описание: WMI. WMI == Windows Management Instrumentation, инструментарий управления Windows. Подробнее тут. Или тут (на английском).

По логам: в avz_sysinfo.htm присутствует следующая запись:

===

C:\WINDOWS\system32\ntos.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit

===

Самого файла-носителя на диске нет (в логе Cureit.log упоминаний о нём нет), т.е. данная запись в реестре является мусорной. Откройте в редакторе реестра ветвь [HKEY_USERS\ .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] и удалите ключ, значение которого C:\WINDOWS\system32\ntos.exe.

Встречный вопрос -- проверку CureIt! Вы проводили при запущенном AVZ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • PR55.RP55
      uVS  в Windows 7 при запуске в режиме: Запустить под LocalSystem ( максимальные права, без доступа к сети ) Не видит пути к реально существующим объектам типа: Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\CALIBRE-PORTABLE\CALIBRE PORTABLE\CALIBRE-PORTABLE.EXE
      Имя файла                   CALIBRE-PORTABLE.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USERS\USER\DESKTOP\calibre-portable.exe - Ярлык.lnk
      ---------------------                 Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\DESKTOP\АРХИВ\UVS 4.1.1 ДРОВА\START.EXE
      Имя файла                   START.EXE
      Статус                      ПОДОЗРИТЕЛЬНЫЙ
      Инф. о файле                Системе не удается найти указанный путь.
      Цифр. подпись               проверка не производилась
                                  
      Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
      Путь до файла               Типичен для вирусов и троянов
                                  
      Ссылки на объект            
      SHORTCUT                    C:\USER\USER\DESKTOP\start.exe - Ярлык.lnk
      --------- Как результат удаление всех этих ярлыков. + Глюки если программа была на панели задач. Пусть uVS пишет в ИНФО. откуда _реально получена подпись.                                 
    • demkd
      подпись userinit в catroot и VT естественно такие подписи проверить никак не сможет.
    • PR55.RP55
      C:\WINDOWS\SYSTEM32\USERINIT.EXE Действительна, подписано Microsoft Windows ------- https://www.virustotal.com/gui/file/0c079dadf24e4078d3505aaab094b710da244ce4faf25f21566488106beaeba0/details Signature verification File is not signed --------- Хотелось бы _сразу видеть в Инфо. результат проверки на V.T.  ( при выборочной проверке - отдельно взятого файла ) Если V.T. такого функционала не предоставляет... То открывать\скачивать страницу ( текст ) и писать результат в Инфо. Образ: https://forum.esetnod32.ru/messages/forum3/topic17900/message117128/#message117128    
    • PR55.RP55
      Предлагаю добавлять в лог - информацию по пользователям типа: Account: (Hidden) User 'John' is invisible on logon screen Account: (RDP Group) User 'John' is a member of Remote desktop group и т.д.      
    • demkd
      ---------------------------------------------------------
       4.15.3
      ---------------------------------------------------------
       o Добавлен новый модуль uvsv для систем не младше Vista.
         Признаком его работы является номер версии uVS c буквой v на конце: 4.15.3v.
         Модуль позволяет получить более четкие шрифты при активном масштабировании.
         На системах младше Vista будет работать обычная версия 4.15.3.

       o Выбранный шрифт теперь применяется и к меню.

       o Добавлена подстройка размеров списка под размер шрифта в окне активности процессов.
         Улучшена функция сортировки процессов по загрузке GPU.

       o Добавлена подстройка размеров списка под размер шрифта в окне удаления программ.

       o Добавлена подстройка размеров списка под размер шрифта в окне списка сохраненных компьютеров.

       o На основе полученных дамп-файлов выявлены и исправлены ошибки:
         o Исправлена критическая ошибка в файле английской локализации (файл lclz).
         o Исправлена потенциальная критическая ошибка при попытке загрузки поврежденного файла сигнатур.
       
×