Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Проверка на вредоносные программы

Ответить
Настройки темы
Проверка на вредоносные программы

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt info.txt
(23.3 Kb, 3 просмотров)
Тип файла: txt log.txt
(47.2 Kb, 2 просмотров)
Тип файла: zip virusinfo_syscheck.zip
(25.7 Kb, 3 просмотров)
Тип файла: zip virusinfo_syscure.zip
(35.4 Kb, 2 просмотров)
Здравствуйте, есть подозрения на вирусы.
Вчера поймал программу для удаленного управления компьютером, называется Remote Manipulator System, можете помочь избавиться от неё.
Ключ: TektonIT - R-Server Файл: rutserv.exe
Значение: C:\Windows\SysWOW64\sysfiles\rutserv.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RManService
Путь: C:\Windows\SysWOW64\sysfiles\rutserv.exe

Заранее спасибо!

Отправлено: 07:34, 29-05-2013

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5316
Благодарности: 1328

Профиль | Отправить PM | Цитировать


Здравствуйте!

Кроме уязвимостей в IE ничего предосудительного в логах.

В AVZ Файл - Выполнить скрипт:
Цитата:
begin
ExecuteAVUpdate;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После перезагрузки повторите лог AVZ (стандартный скрипт 2).

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите Perform Full Scan (Полное сканирование), нажмите Scan (Сканирование), после сканирования - Ok - Show Results (Показать результаты) - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке:
Цитата:
%appdata%/Malwarebytes/Malwarebytes' Anti-Malware/Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве

Цитата Vexor_26:
помочь избавиться от неё. »
В установке/удалении программ ее нет?

Отправлено: 17:24, 29-05-2013 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt MBAM-log-2013-05-29 (21-26-17).txt
(2.3 Kb, 5 просмотров)

Цитата Sandor:
Цитата Vexor_26:
помочь избавиться от неё. »
В установке/удалении программ ее нет? »
Нету.
Установил anvir и удалил все что связано с rutserv.exe

Спасибо за помощь!

Отправлено: 21:57, 29-05-2013 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5316
Благодарности: 1328

Профиль | Отправить PM | Цитировать


Цитата:
Тип сканирования: Быстрое сканирование
а нужно было
Цитата Sandor:
выберите Perform Full Scan (Полное сканирование) »
Для профилактики повторных заражений скачайте и запустите SecurityCheck by glax24, когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности. Скачайте и установите обновления по ссылкам.

Соблюдайте Рекомендации.

Отправлено: 23:15, 29-05-2013 | #4


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt MBAM-log-2013-05-30 (06-41-28).txt
(4.3 Kb, 4 просмотров)

Цитата Sandor:
выберите Perform Full Scan (Полное сканирование) » »
Сделано

SecurityCheck
Security Check by glax24 version 0.1.6.55 rc2
WebSite: www.safezone.cc
DataLog 30.05.2013 09:27:03
Program directory: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
XML File - VersionInet=4.3
Диск C:\ ФС: NTFS Емкость: (100.8 Гб) Занято: (77.9 Гб) Свободно: (22.9 Гб)
__________________________________________________

WIN_7(6.1) Build 7601 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 07.12.2012 22:42:43
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Service Pack 1
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------Windows------------------------------
Контроль учётных записей пользователя включен
Уведомлять о загрузке и установке обновлений
Дата установки обновлений: 2013-04-16 03:46:49
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Dr.Web Security Space
-------------Firewall_WMI-------------------------
-------------AntiSpyware_WMI----------------------
Dr.Web Security Space
Windows Defender
-------------AntiVirusFirewallInstall-------------
Dr.Web Security Space
-------------OtherUtilities-----------------------
Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
-------------Java---------------------------------
Java(TM) 8 (64-bit) v.8.0.0
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.7.700.202
Adobe Flash Player 11 Plugin v.11.7.700.202
Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления
Adobe Shockwave Player 11.6 v.11.6.3.633 Внимание! Скачать обновления
-------------Browser------------------------------
Opera 12.15 v.12.15.1748
Google Chrome v.27.0.1453.94
Mozilla Firefox 20.0.1 (x86 ru) v.20.0.1 Внимание! Скачать обновления
-------------EndLog-------------------------------

Отправлено: 09:35, 30-05-2013 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5316
Благодарности: 1328

Профиль | Отправить PM | Цитировать


MBAM если уже закрыли, повторите сканирование (можно только диск D) и удалите только:
Цитата:
D:\$RECYCLE.BIN\S-1-5-21-1616464642-304898111-1275577287-1000\$R6CFQ7M.exe (Trojan.Agent.ED) -> Действие не было предпринято.
D:\kjrfkmysq lbcr C\AppData\Roaming\Thinstall\office\30000000c200002i\DW20.EXE (Rootkit.Dropper) -> Действие не было предпринято.
Лог после удаления покажите.

Обновите необходимые компоненты по ссылкам из вашего сообщения.
Как самочувствие системы?

Отправлено: 09:42, 30-05-2013 | #6


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt mbam-log-2013-05-30 (21-40-08).txt
(3.8 Kb, 2 просмотров)

Прикрепил лог.
Adobe Reader не обновилась, вылезла ошибка
Ошибка
Error 1406.Could not write value NoExplorer to key \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}. Verify that you have sufficient access to that key, or contact your support personnel


При обновлении через "центр windows" так же произошла ошибка "WindowsUpdate_800F0902" "WindowsUpdate_dt000" вот список Безымянный.png

Думаю надо винду переустанавливать

Отправлено: 23:55, 30-05-2013 | #7


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5316
Благодарности: 1328

Профиль | Отправить PM | Цитировать


Сделайте еще такую проверку:
  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
  2. Введите sfc /scannow и нажмите Энтер.
  3. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
  4. После того как закончится проверка в командной строке введите команду:
    Код: Выделить весь код
    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
  5. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

-------


Отправлено: 10:04, 31-05-2013 | #8



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Проверка на вредоносные программы

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] вредоносные программы sgg75111 Лечение систем от вредоносных программ 6 26-03-2013 09:09
SuperClean и DroidCleaner: вредоносные программы на Android становятся всё более мног OSZone News Новости информационных технологий 0 05-02-2013 18:30
[решено] вредоносные программы fereman Лечение систем от вредоносных программ 10 03-09-2010 11:49
Зачем люди пишут вредоносные программы? Why Флейм 20 08-01-2009 22:13
Вредоносные микросхемы - новое поколение вирусов, работающих на уровне "железа" Котяра Новости информационных технологий 17 07-05-2008 20:25




 
Переход