Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] svchost.exe - teamviewer , svchost.exe - teamviewer

1 2 След.
RSS
 
De_Nice
De_Nice
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 23.01.2012
Размещено 07.02.2012 11:16:13
Здравствуйте! нужна Ваша помощь!
TeamViewer не устанавливал никогда. тут он в автозапуске появился, причем старинный (4-й версии). Где ни искал - не нашел, пока не запустил Malwarebytes и не увидел в списке подозрительных svchost.exe. При создании образа автозагрузки тоже показало на svchost.exe, только в производителе/издателе не microsoft, а именно teamviewer gmbh
логи uVS и malwarebytes прикрепляю.
Спасибо заранее!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 11:20:20
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BF0AA0228324AD4C6717D881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBDAE92A2DD78F544E95CA25D9FE82BD6D7F86C6C775BACCAEA6232 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
bl 815732068870DD4094CB1525E32C4F4F 110592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
De_Nice
De_Nice
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 23.01.2012
Размещено 07.02.2012 11:47:26
Скрипт выполнил, компьютер перезагрузился. TeamViewer опять благополучно запустился. Кстати, когда эта проблема появилась, на рабочем столе появился ярлычок "Удаленный доступ", который ссылался на скрытый файл teamviewer.exe в скрытой папке на диске D. Поскольку я сам его не устанавливал, то сам и удалил (папку и ярлык). Сейчас он запускается откуда-то из др. места
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 11:52:42
извиняюсь,
лог малваребайт не смотрел,
--------
удалите в МБАМ все кроме
Цитата
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
Изменено: santy - 07.02.2012 11:54:14
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 11:56:33
а так же, напишите, что это может быть если известно (скрытый rdp доступ)
Цитата
Полное имя                  C:\WINDOWS\HIDERDP\HIDERDPXBUTTON.EXE
Имя файла                   HIDERDPXBUTTON.EXE
Тек. статус                 АКТИВНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ в автозапуске
Размер                      17920 байт
Создан                      15.05.2009 в 10:31:54
Изменен                     11.09.2006 в 14:18:18
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            HideRDPxButton.exe
Версия файла                1.0.1.0
Описание                    HideRDPxButton
Производитель               metaeditor <[email protected]>
Комментарий                
                           
Доп. информация             на момент обновления списка
pid = 532                   COMP-80\omirova
CmdLine                     "C:\WINDOWS\HideRDP\HideRDPxButtoN.exe"
Процесс создан              10:26:23 [2012.02.07]
С момента создания          00:25:51
parentid = 664              
SHA1                        C03468303AF277ED38DF07CD06BE1112E8FC06A5
MD5                         3A0244928C00047728105DA71DA875A3
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HIDERDPXBUTTON.LNK
                           
[ Как создать образ автозапуска? ]
 
De_Nice
De_Nice
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 23.01.2012
Размещено 07.02.2012 12:04:32
Конечно известно :) Hide RDP X button - соотв. в терминальном доступе прячет от юзера "крестик" и тот не может закрыть сессию, не разлогинившись
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 12:05:27
после удаления в мбам,
перегрузите систему,
далее,
сделайте новый образ автозапуска.
и новый лог сканирования в мбам
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 12:06:38
Цитата
De_Nice пишет:
Конечно известно   Hide RDP X button - соотв. в терминальном доступе прячет от юзера "крестик" и тот не может закрыть сессию, не разлогинившись
ясно, значит рабочая программа, выполните все из сообщения 7.
[ Как создать образ автозапуска? ]
 
De_Nice
De_Nice
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 23.01.2012
Размещено 07.02.2012 13:09:39
Цитата
santy пишет:
после удаления в мбам, перегрузите систему, далее, сделайте новый образ автозапуска. и новый лог сканирования в мбам
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 13:40:14
по логам чисто.
решилась проблема? нет?
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему