Нет ли угрозы? - Форум технической поддержки ESET NOD32

Сообщений: 19

Баллов: 9

Регистрация: 29.05.2015

Размещено 26.02.2017 20:52:43

Здравствуйте.
Конкретных жалоб у меня нет.
Но очень боюсь, нет ли на компьютере каких-нибудь шпионских программ.
Компьютерный мастер (которого я вызывал не по этому поводу) обнаружил в Диспетчере программ несколько непонятных процессов, в т.ч. AlarmClock.exe
Имеющийся антивирус не обнаруживает угроз, но я ранее встречался с ситуацией, когда вирусы на компьютере есть, а ни один антивирус их не видит.
Прилагаю образ автозапуска в uVS.

Прошу посоветовать: что ещё можно сделать, чтобы убедиться в отсутствии угроз на компьютере?

Прикрепленные файлы

USER-DNS_2017-02-26_20-24-29.7z (728.03 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.02.2017 21:46:58

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\SCREENCAPTURE\SCREENCAPTURE.EXE del %SystemDrive%\PROGRAM FILES (X86)\SCREENCAPTURE\SCREENCAPTURE.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC delref HTTP://NMD.MSN.COM delref %SystemRoot%\SKINAPP.SYS del %SystemRoot%\SKINAPP.SYS delref HTTP://PODVIZHU.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=D28A86123E44A085DA1AC64C2305ECF4 delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC delref HTTP://WWW.GOOGLE.COM/CSE?CX=PARTNER-PUB-3794288947762788%3A7941509802&IE=UTF-8&SA=SEARCH&SITEURL=WWW.GOOGLE.COM%2FCSE%2FHOME%3FCX%3DPARTNER-PUB-3794288947762788%3A7941509802&Q={SEARCHTERMS} delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&FR=CHR-DEVICEVM&TYPE=IEBDSV delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=SPLBR1&PC=SPLH delref HTTP://RU.MSN.COM/?OCID=IEHP delref %SystemDrive%\SCREEN CAPTURE\SCREENCAPTURE_SETUP.EXE del %SystemDrive%\SCREEN CAPTURE\SCREENCAPTURE_SETUP.EXE delref HTTP://SOCIALGAMES.SPLASHTOP.COM/REDIRECTGAMES/?OEM=GBBCU01&OS=WINDOWS&P=Z68AP-D3&PV=1.1.13&V=1&FLV=&C=1049&T=9FD5518727BC7EDD05725F8117829BFB&L=RU-RU delref HTTP://SKINAPP.RU/THEMES.HTML ;------------------------------------------------------------- delall %SystemDrive%\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE bl 718E21E0F5E68B62FA878535517CD897 210432 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\AMD VISION ROMA INFO\SVCIDEX.EXE deltmp delnfr restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\SCREENCAPTURE\SCREENCAPTURE.EXE
del %SystemDrive%\PROGRAM FILES (X86)\SCREENCAPTURE\SCREENCAPTURE.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC
delref HTTP://NMD.MSN.COM
delref %SystemRoot%\SKINAPP.SYS
del %SystemRoot%\SKINAPP.SYS

delref HTTP://PODVIZHU.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=D28A86123E44A085DA1AC64C2305ECF4
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
delref HTTP://WWW.GOOGLE.COM/CSE?CX=PARTNER-PUB-3794288947762788%3A7941509802&IE=UTF-8&SA=SEARCH&SITEURL=WWW.GOOGLE.COM%2FCSE%2FHOME%3FCX%3DPARTNER-PUB-3794288947762788%3A7941509802&Q={SEARCHTERMS}
delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&FR=CHR-DEVICEVM&TYPE=IEBDSV
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=SPLBR1&PC=SPLH
delref HTTP://RU.MSN.COM/?OCID=IEHP
delref %SystemDrive%\SCREEN CAPTURE\SCREENCAPTURE_SETUP.EXE
del %SystemDrive%\SCREEN CAPTURE\SCREENCAPTURE_SETUP.EXE

delref HTTP://SOCIALGAMES.SPLASHTOP.COM/REDIRECTGAMES/?OEM=GBBCU01&OS=WINDOWS&P=Z68AP-D3&PV=1.1.13&V=1&FLV=&C=1049&T=9FD5518727BC7EDD05725F8117829BFB&L=RU-RU
delref HTTP://SKINAPP.RU/THEMES.HTML
;-------------------------------------------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE
bl 718E21E0F5E68B62FA878535517CD897 210432
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\AMD VISION ROMA INFO\SVCIDEX.EXE
deltmp
delnfr
restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 19

Баллов: 9

Регистрация: 29.05.2015

Размещено 27.02.2017 07:35:17

Спасибо.
Результаты полной проверки в Malwarebytes:

Прикрепленные файлы

log.txt (4.16 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.02.2017 07:58:31

удалите все найденное в мбам,
перегрузите систему,
далее,

3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 29.05.2015

Размещено 27.02.2017 08:27:43

Спасибо. Пункты 1-4 выполнены.
Что касается пункта 5, у меня возникло впечатление, что он не работает (после нажатия на кнопку Scan в FRST программа просто закрывается).
Выкладываю файл FRST.txt; файла Addition.txt нет, несмотря на то, что соответствующую галочку я ставил.

Прикрепленные файлы

FRST.txt (599 Б)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.02.2017 08:48:49

возможно FRST надо запустить с правами администратора.
пробуйте повторить логи FRST

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 29.05.2015

Размещено 27.02.2017 10:09:08

Не работает, даже при отключённом антивирусе.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.02.2017 10:20:44

может FRST покалеченный? попробуйте еще раз скачать утилиту, и проверить
+

Цитата
Не работает, даже при отключённом антивирусе.

здесь смысл не в отключении антивируса, а в запуске FRST с правами администратора.

[ Как создать образ автозапуска? ]

Сообщений: 19

Баллов: 9

Регистрация: 29.05.2015

Размещено 27.02.2017 10:28:14

Увы, итог тот же

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.02.2017 11:29:34

а из безопасного режима системы можете сделать проверку в FRST?

[ Как создать образ автозапуска? ]