Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Возможно вирус , Спонтанно появляются учетные записи пользователей

1
RSS
 
Andrey Anohin
Andrey Anohin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 06.01.2016
Размещено 01.03.2016 09:32:11
Здравствуйте.
На ноутбуке автоматически спонтанно появляются новые учетные записи пользователей с названиями типа "ljhalviuayrewifql"(случайный набор букв). После удаления, через какое-то время, они появляются снова. Закономерности пока не могу понять,когда они появляются.
Антивирус ESET smart secuity 9. Ничего не находит.
Может кто-то может подсказать чтонить по этой теме?
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 01.03.2016 10:04:29
добавьте образ автозапуска, можно из безопасного режима системы
ссылка на инструкцию в моей подписи
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 01.03.2016 13:03:46
Цитата
Andrey Anohin написал:
Может кто-то может подсказать чтонить по этой теме?

Антивор включен? Если да, то это фантомная учётная запись.
 
Andrey Anohin
Andrey Anohin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 06.01.2016
Размещено 20.03.2016 20:37:45
Уважаемый santy.
Прошу прощения за долгий ответ.(Был в командировке).
Прикрепляю образ автозапуска.
Для zloyDi сообщаю, что антивор включен и создана отдельная фантомная учетная запись. А появляющиеся учетки никак не имеют отношения к ESET
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 21.03.2016 06:13:49
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR

delref %SystemDrive%\USERS\BEFB~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
del %SystemDrive%\USERS\BEFB~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RAV

deldirex %SystemDrive%\PROGRA~2\SEARCHPROTECT\SEARCHPROTECT\BIN

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\IQIYI VIDEO\LSTYLE

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\USERS\ЛИЗА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ЛИЗА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АЛИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.17.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\АЛИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АЛИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ЛИЗА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
del %SystemDrive%\USERS\ЛИЗА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\WEBGET\BIN

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref %SystemDrive%\USERS\ЛИЗА\APPDATA\LOCAL\TEMP\IS1590112554\277113404_STP\CODECPACK.EXE
del %SystemDrive%\USERS\ЛИЗА\APPDATA\LOCAL\TEMP\IS1590112554\277113404_STP\CODECPACK.EXE

delref HTTP://WWW.QIP.RU/
; Pandora Service
exec  C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe
; Search Protect
exec  C:\PROGRA~2\SearchProtect\Main\bin\uninstall.exe" /S
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Andrey Anohin
Andrey Anohin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 06.01.2016
Размещено 22.03.2016 00:09:10
Скрипт отработал.
Антивирусом прошелся. Много вирусни убил. А посмотрел-опять появилась новая учетная запись с рандомным названием.
На всякий случай сделал новый образ автозапуска
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 22.03.2016 05:26:20
лог малваребайт покажите, что он нашел
возможно это не учетные записи, апросто папки, добавленные в каталог Users
Изменено: santy - 22.03.2016 05:27:49
[ Как создать образ автозапуска? ]
 
Andrey Anohin
Andrey Anohin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 06.01.2016
Размещено 22.03.2016 05:43:20
Вот лог малваребайт
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 22.03.2016 07:30:23
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
[ Как создать образ автозапуска? ]
 
1
Читают тему