Перейти к содержанию

Recommended Posts

Слава

На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
На днях NOD предупредил об опасности Win32/Autorun.FakeAlert.M. Удалить его

не смог, т.к. этот процесс занят системой. При глубоком анализе NOD заразу не

находит. Но регулярно происходит обращение к дисководу.

Подскажите, пожалуйста, кто сталкивался, как эту заразу найти и убить.

ОС WinXP SP2.

Заранее благодарю.

Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава
Скачайте AVZ, сделайте отчёт сканирования системы (без проверки файлов на дисках), полученный отчёт опубликуйте здесь. Также можно скачать Dr.Web CureIt!, выполнить "Быструю проверку". Для найденных объектов применить действие "Лечить".

Появятся вопросы -- спрашивайте. :)

Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

avz_log.txt

avz_log.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Благодарю Вас за помощь.

Dr.Web CureIt при проверке никаких объектов не обнаружил. Лог от AVZ прикрепляю.

Из бросающегося в глаза -- "Нестандартный ключ Winlogon\Shell, подозрение на скрытый запуск "explorer.exe logon.exe""

Скиньте, пожалуйста, мне лог Cureit.log (он находится в C:\Documents and Settings\<Имя пользователя>\Doctor Web) в почту на mk500@yandex.ru. Плюс к этому в AVZ выполните "Исследование системы" (меню Файл -->Исследование системы). Полученный лог avz_sysinfo.htm скиньте туда же.

В разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Найдите параметр Shell и исправьте его значение с explorer.exe logon.exe на explorer.exe.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm? Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Я полностью проверил систему программой Malwarebytes' Anti-Malware. Нашла просто огромнейшую кучу всякой заразы и убила ее. Единственным осложнением оказалось выскакивание при запуске винды окна "Не найден файл logon.exe." Исправил, как вы советовали, запись в реестре "explorer.exe logon.exe на explorer.exe" и окно больше при старте не появляется. Огромная Вам благодарность. Скажите, стоит ли теперь отсылать Вам Cureit.log и avz_sysinfo.htm?

Чем могу. Да пришлите, пожалуйста, потому как я не особо доверяю Malwarebytes' Anti-Malware.

Проблема вроде исчезла, дисковод больше не тревожится. Еще хотел спросить: недавно в Диспетчере задач появился системный процесс wmiprvse.exe. Уж больно он подозрителен.

Еще раз с благодарностью.

Проверьте, пожалуйста, по какому пути находится этот файл. По C:\WINDOWS\system32\wbem\ ? Если да, то это нормально. Если нет, есть повод разбираться дальше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Слава

Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

Слава

После Malwarebytes Anti-Malware ещё раз проверьте Dr.Web CureIt'ом системные папки диска.

Есть зловреды, которые распознают известные утилиты и не дают им делать детект. В первый раз, при необнаружении зловредов надо было просканировать систему CureIt'ом ещё и в безопасном режиме, нажав клавишу F8 при начале загрузке ОС и предварительно отключив Восстановление системы.

Dr.Web CureIt при повторной проверке после Malwarebytes Anti-Malware ничего не обнаружил, благодарю Вас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
K_Mikhail
Уважаемый K_Mikhail. Отправил Вам лог DrWeb и AVZ - Исследование системы.

Файл wmiprvse.exe действительно находится по указанному Вами пути C:\WINDOWS\system32\wbem\

Не подскажете, за что он отвечает? Я прекращаю этот процесс через Диспетчер задач и не вижу никаких изменений.

Еще раз благодарю Вас.

В свойствах файла -- Описание: WMI. WMI == Windows Management Instrumentation, инструментарий управления Windows. Подробнее тут. Или тут (на английском).

По логам: в avz_sysinfo.htm присутствует следующая запись:

===

C:\WINDOWS\system32\ntos.exe

Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit

===

Самого файла-носителя на диске нет (в логе Cureit.log упоминаний о нём нет), т.е. данная запись в реестре является мусорной. Откройте в редакторе реестра ветвь [HKEY_USERS\ .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] и удалите ключ, значение которого C:\WINDOWS\system32\ntos.exe.

Встречный вопрос -- проверку CureIt! Вы проводили при запущенном AVZ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×