Autorun.FakeAlert.M - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию

Recommended Posts

Слава

На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава
Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

avz_log.txt

avz_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

Из бросающегося в глаза -- "Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe logon.exe""

Скиньте, пожалуйста, мне лог Cureit.log (он находится в C:\Documents and Settings\<Имя пользователя>\Doctor Web) в почту на mk500@yandex.ru. Плюс к этому в AVZ выполните "Исследование системы" (меню Файл -->Исследование системы). Полученный лог avz_sysinfo.htm скиньте туда же.

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Найдите параметр Shell и исправьте его значение с explorer.exe logon.exe на explorer.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm? Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm?

Чем могу. Да пришлите, пожалуйста, потому как я не особо доверяю Malwarebytes' Anti-Malware.

Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Проверьте, пожалуйста, по какому пути находится этот файл. По C:\WINDOWS\system32\wbem\ ? Если да, то это нормально. Если нет, есть повод разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Dr.Web CureIt при повторной проверке после Malwarebytes Anti-Malware ничего не обнаружил, благодарю Вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

В свойствах файла -- Описание: WMI. WMI == Windows Management Instrumentation, инструментарий управления Windows. Подробнее тут. Или тут (на английском).

По логам: в avz_sysinfo.htm присутствует следующая запись:

===

C:\WINDOWS\system32\ntos.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit

===

Самого файла-носителя на диске нет (в логе Cureit.log упоминаний о нём нет), т.е. данная запись в реестре является мусорной. Откройте в редакторе реестра ветвь [HKEY_USERS\ .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] и удалите ключ, значение которого C:\WINDOWS\system32\ntos.exe.

Встречный вопрос -- проверку CureIt! Вы проводили при запущенном AVZ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • demkd
      эти функции небезопасные, лучше их оставить в ручном режиме.
    • demkd
      ---------------------------------------------------------
       5.0.1
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой могло неправильно отображаться имя родителя процесса в информации о файле.

       o В список для проверки добавлен ключ реестра используемый зловредами для неявного запуска программ с обходом UAC с помощью системных утилит.
         (для текущей версии Win11 24H2 проблема актуальна)
         В случае обнаружении исполняемого файла он будет добавлен в подозрительные.
         Автоматический сброс статуса этого файла по хэшу/эцп будет заблокирован.
         FRST пока эту дыру в безопасности не видит.

       o В список теперь может быть добавлено подозрительное значение ключа реестра.
         Это значение после его проверки можно удалить из реестра через контекстное меню с помощью пункта "Удаление всех ссылок на объект".
         (!) Если значение это пустая строка то такие значения рекомендуются всегда удалять.

       o Обновлен модуль rest до v1.21.
       
    • santy
      Может, стоит включить команды заморозки потоков и выгрузки процессов с измененным кодом при формировании скрипта в режиме "Автоскрипт"? Если были обнаружены процессы с измененным кодом.
    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 18.2.17.
    • PR55.RP55
      Так как, по сути нет возможности проверить расширения браузеров Chrom\ium при работе с образом - то, что-то нужно с этим делать. Отправлять все расширения на V.T. - в момент генерации образа, или упаковывать их в отдельный архив к\с образом автозапуска, или загружать... в облако. Возможно добавить пункт в меню: "Создать полный образ автозапуска с проверкой расширений браузеров".      
×