Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Моё сканирование. Поясните?


Рекомендуемые сообщения

Здравствуйте. Проверил систему как написано в инструкции, получил логи (прилагаю). Просьба к знающим пояснить насколько всё хорошо или насколько всё плохо...

virusinfo_cure.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_cure.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Проверьте на virustotal этот файл:

C:\WINDOWS\hporclnr.exe

и дайте ссылку на результат сканирования.

Ваш провайдер:

CJSC Telesystems of Ukraine?

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

скачайте ATF Cleaner или с зеркала, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

Перед выполнением скрипта отключите интернет, выгрузите антивирусное и защитное ПО.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

beginSearchRootkit(true, true);SetAVZGuardStatus(True);TerminateProcessByName(' C:\WINDOWS\system32\csrcs.exe');QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');QuarantineFile(' C:\WINDOWS\hporclnr.exe ','');DeleteFile('C:\WINDOWS\system32\csrcs.exe');RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunServices','csrcs');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится.

после перезагрузки выполнить второй скрипт:

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Запустите Hijackthis, в логе сканирования Hijackthis отметьте эти строки и нажмите "fix checked"

R3 - URLSearchHook: (no name) - - (no file)O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Повторите логи AVZ (внимательно читайте правила запроса о помощи) -> вы должны прикрепить два архива от AVZ: virusinfo_syscure.zip и virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты

ссылка на результат сканирования: http://www.virustota...4112-1297844890

i

Уведомление:

Нет никакой нужды полностью цитировать предыдущие сообщения...

Изменено пользователем Yezhishe
Ссылка на комментарий
Поделиться на другие сайты

1.Ответ: Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.

If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:

https://my.kaspersky.com/en/support/viruslab .

This option is available for the Licensed Kaspersky Lab customers only.

If you are a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en.

This link sends your file to the Virus Lab for inspection.

All the files submitted for scanning from unregistered addresses are verified in the common queue order.

bcqr00004.dat

No malicious code was found in this file.

Best Regards, Kaspersky Lab

2. R3 - URLSearchHook: (no name) - - (no file) - строка в логе сканирования Hijackthis была, всё сделал как написано

O4 - HKLM\..\RunServices: [csrcs] C:\WINDOWS\system32\csrcs.exe[/code] - строки в логе сканирования Hijackthis не выдало

3. Логи AVZ прикрепляю.

4. Лог Malwarebytes' Anti-Malware прикрепил.

Благодарю за ответы.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam-log-2011-02-16 (12-37-00).txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam-log-2011-02-16 (12-37-00).txt

Ссылка на комментарий
Поделиться на другие сайты

1. Я просил проверить на virustotal файл C:\WINDOWS\hporclnr.exe, а не hporclnr.txt

2. virusinfo_syscure.zip у вас вчерашний. Я попросил после выполнения скрипта, сделать новые логи. По virusinfo_syscheck.zip проблем не вижу.

3. Удалите в Malwarebytes':

Заражённые ключи в реестре:HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.

4. Подготовьте новые логи AVZ и RSIT и прикрепите в ваше следующее сообщение.

Ссылка на комментарий
Поделиться на другие сайты

1. Отправил ехе-шник на анализ. Ссылка: http://www.virustotal.com/file-scan/reanalysis.html?id=9b50560fbff3f69ac8f18666f9e980372a1aa114c09a048760d5ef59b6f24112-1297859399

2. Проделал всё сначаа для получения логов с перезагрузкой и т.д. Вроде всё правльно. Отправляю всё полученное.

Простите индейца, не силён в компьютерах...

info.txt

log.txt

virusinfo_cure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_cure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Жалобы есть?

Обновите Javaи Adobe Reader

8. Поиск потенциальных уязвимостей>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!>> Безопасность: разрешен автозапуск программ с CDROM>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя>> Безопасность: Разрешена отправка приглашений удаленному помошникуПроверка завершена9. Мастер поиска и устранения проблем>>  Разрешен автозапуск с HDD>>  Разрешен автозапуск с сетевых дисков>>  Разрешен автозапуск со сменных носителей

Что из этого вам нужно?

Изменено пользователем Farger
Ссылка на комментарий
Поделиться на другие сайты

Жалобы есть?

Есть подозрение на программу-шпион, что воруют пароли... взламывают электронку.

Взломали персонажа в онлайн игре, админы утверждают, что ломают мыло и берут там пароль. Так же сказано проверить компьютер на удалённый доступ.

Что мне нужно из вышеперечисленного? Да ничего! Я не разбираюсь в этом... Подскажите плиз что удалить, а что оставить для оптимальной уязвимости компьютера.

Ссылка на комментарий
Поделиться на другие сайты

У вас отдельностоящий ПК?

Да, кстати, по последнему результату virustotal, вы опять отослали hporclnr.txt... Давайте так: запакуйте файл C:\WINDOWS\hporclnr.exe и отошлите на мыло: cash2000(at)rambler(dot)ru, где (at) = @ а (dot) = .

Изменено пользователем Farger
Ссылка на комментарий
Поделиться на другие сайты

сори :) уже прикрепил.

У меня ноутбук, который практически всё время со мной... в офисе подключаюсь к сети из 3-х компьютеров

Ссылка на комментарий
Поделиться на другие сайты

сори :)...в офисе подключаюсь к сети из 3-х компьютеров

Тогда так: чтобы я вам не нарушил ничего, исходя из специфики подключения, я вам разложу все по полочкам:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

Если не требуется интерактивно подключаться к компьютеру и отображать рабочий стол и приложения на удаленных компьютерах, то ее можно отключить.

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

Отвечает за обнаружение UPnP-устройств в домашней сети.

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

Планировщик заданий

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

Системная служба общего доступа к рабочему столу NetMeeting позволяет прошедшим проверку пользователям удаленно управлять рабочим столом Windows С помощью программы Windows NetMeeting с другого компьютера по внутренней сети предприятия

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Управляет возможностями удаленного помощника.

>> Безопасность: разрешен автозапуск программ с CDROM

Это, я думаю, понятно...

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Зная пароль администратора можно подключаться к дискам.

>> Безопасность: к ПК разрешен доступ анонимного пользователя

В сети любой может подключиться к компьютеру и посмотреть информацию.

>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Удаленный помощник позволяет доверенному лицу (другу, специалисту технической поддержки или ИТ администратору) удаленно в активном режиме помочь кому-либо в решении компьютерной проблемы.

9. Мастер поиска и устранения проблем

>> Разрешен автозапуск с HDD

>> Разрешен автозапуск с сетевых дисков

>> Разрешен автозапуск со сменных носителей

Это тоже, думаю, понятно.

В HJT пофиксите:

O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - Invalid registry found

Запустите HJT -> Do a system scan only -> отметьте эту строку -> нажмите Fix checked.

В последних логах ничего подозрительного не нашел.

На вашем месте, я бы лучше позаботился об защите от вирусов, а то у вас установлена только одна Avira и то бесплатная. Она дает только базовую защиту. Установите фаервол, например COMODO, программу HIPS: ThreatFire или WinPatrol, антишпион: Malwarebytes' или SuperAntiSpyware...

  • Upvote 1
Ссылка на комментарий
Поделиться на другие сайты

Разберусь, что за службы и ненужное отключу. Подскажите только индейцу как отключать :rolleyes:

Поблагодарил за помощь и плюсанул разок :)

Ссылка на комментарий
Поделиться на другие сайты

Спасибо.

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) - не нужна

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) - не нужна

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - не нужна

>> Безопасность: к ПК разрешен доступ анонимного пользователя - не нужна

>> Безопасность: Разрешена отправка приглашений удаленному помошнику - не нужна

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ: AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

beginSetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('TermService', 4);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Во избежание новых заражений желательно отключить автозапуск программ с различных носителей. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]"NoDriveTypeAutoRun"=dword:000000dd

Создайте новую контрольную точку восстановления и очистите заражённую:

1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

- не работайте за компьютером с правами администратора

- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.

- не забывайте регулярно устанавливать обновления Windows и обновлять антивирусные базы.

- выполняйте ежедневное сканирование системы

- не кликайте на ссылках в электронной почте и не открывайте вложения в которых вы сомневаетесь.

- установите программу предотвращения вторжений, которая защищает компьютер в реальном времени (если это функция отсутствует в вашем антивирусе или реализована частично). Например PC Tools ThreatFire, WinPatrol или Spyware Terminator

- выполняйте ежедневное сканирование системы.

- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.

- используйте файрвол для безопасного нахождения в сети. Например: COMODO, PC Tools Firewall Plus, Outpost или Online Armor.

- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!

+ у вас установлен антивирус Avira. Пожалуйста, не забывайте обновлять ваш антивирус.

Ваша система была поражена вирусом Trojan-Downloader.Win32.AutoIt.fn. Для предотвращения в будущем повторного заражения, пожалуйста, следуйте вышенаписанным рекомендациям.

Изменено пользователем Farger
Ссылка на комментарий
Поделиться на другие сайты

Скрипты все выполню. Сегодня поставил Kaspersky Internet Security. Нужно ли устанавливать вышеперечисленные программы при таком антивирусе?

И что всё-таки с C:\WINDOWS\hporclnr.exe? Некоторые сайты пишут, что это дрянь какая-то...

Больше вопросов нет.

Большое спасибо за помощь, всё доходчиво и понятно.

Ссылка на комментарий
Поделиться на другие сайты

Не за что, я был рад вам помагать.

Нужно ли устанавливать вышеперечисленные программы при таком антивирусе?

Нет.

И что всё-таки с C:\WINDOWS\hporclnr.exe? Некоторые сайты пишут, что это дрянь какая-то...

Да, пишут, но virustotal показал 0/43, плюс я отправил файл в лабораторию Avira - ответ пришел, что вредоносного кода в файле не обнаружено.

Изменено пользователем Farger
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...