Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Проверка на вредоносные программы (http://forum.oszone.net/showthread.php?t=261424)

Vexor_26 29-05-2013 07:34 2158221
Проверка на вредоносные программы
 
Вложений: 4
Здравствуйте, есть подозрения на вирусы.
Вчера поймал программу для удаленного управления компьютером, называется Remote Manipulator System, можете помочь избавиться от неё.
Ключ: TektonIT - R-Server Файл: rutserv.exe
Значение: C:\Windows\SysWOW64\sysfiles\rutserv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RManService
Путь: C:\Windows\SysWOW64\sysfiles\rutserv.exe

Заранее спасибо!

Sandor 29-05-2013 17:24 2158612
Здравствуйте!

Кроме уязвимостей в IE ничего предосудительного в логах.

В AVZ Файл - Выполнить скрипт:
Цитата:
begin
ExecuteAVUpdate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После перезагрузки повторите лог AVZ (стандартный скрипт 2).

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
Цитата:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

Цитата:
Цитата Vexor_26
помочь избавиться от неё. »
В установке/удалении программ ее нет?

Vexor_26 29-05-2013 21:57 2158833
Вложений: 1
Цитата:
Цитата Sandor
Цитата Vexor_26:
помочь избавиться от неё. »
В установке/удалении программ ее нет? »
Нету.
Установил anvir и удалил все что связано с rutserv.exe

Спасибо за помощь!

Sandor 29-05-2013 23:15 2158900
Цитата:
Тип сканирования: Быстрое сканирование
а нужно было
Цитата:
Цитата Sandor
выберите Perform Full Scan (Полное сканирование) »
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Соблюдайте Рекомендации.

Vexor_26 30-05-2013 09:35 2159071
Вложений: 1
Цитата:
Цитата Sandor
выберите Perform Full Scan (Полное сканирование) » »
Сделано

SecurityCheck
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 30.05.2013 09:27:03
Program directory: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=4.3
Диск C:\ ФС: NTFS Емкость: (100.8 Гб) Занято: (77.9 Гб) Свободно: (22.9 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 07.12.2012 22:42:43
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-04-16 03:46:49
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Dr.Web Security Space
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Dr.Web Security Space
Windows Defender
-------------AntiVirusFirewallInstall-------------
Dr.Web Security Space
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 8 (64-bit) v.8.0.0
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.202
Adobe Flash Player 11 Plugin v.11.7.700.202
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
Adobe Shockwave Player 11.6 v.11.6.3.633 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.15 v.12.15.1748
Google Chrome v.27.0.1453.94
Mozilla Firefox 20.0.1 (x86 ru) v.20.0.1 Внимание! Скачать обновления
-------------EndLog-------------------------------

Sandor 30-05-2013 09:42 2159077
MBAM если уже закрыли, повторите сканирование (можно только диск D) и удалите только:
Цитата:
D:\$RECYCLE.BIN\S-1-5-21-1616464642-304898111-1275577287-1000\$R6CFQ7M.exe (Trojan.Agent.ED) -> Действие не было предпринято.
D:\kjrfkmysq lbcr C\AppData\Roaming\Thinstall\office\30000000c200002i\DW20.EXE (Rootkit.Dropper) -> Действие не было предпринято.
Лог после удаления покажите.

Обновите необходимые компоненты по ссылкам из вашего сообщения.
Как самочувствие системы?

Vexor_26 30-05-2013 23:55 2159628
Вложений: 2
Прикрепил лог.
Adobe Reader не обновилась, вылезла ошибка
Ошибка
Error 1406.Could not write value NoExplorer to key \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}. Verify that you have sufficient access to that key, or contact your support personnel


При обновлении через "центр windows" так же произошла ошибка "WindowsUpdate_800F0902" "WindowsUpdate_dt000" вот список Файл 99609

Думаю надо винду переустанавливать :cry:

Sandor 31-05-2013 10:04 2159745
Сделайте еще такую проверку:
  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
  3. Введите sfc /scannow и нажмите Энтер.
  4. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
  5. После того как закончится проверка в командной строке введите команду:
    Код:
    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
  6. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.


Время: 15:36.

Время: 15:36.
© OSzone.net 2001-