Технический форум

Технический форум (http://www.tehnari.ru/)

- - Это вирус? (http://www.tehnari.ru/f183/t245600/)

Это вирус?

Или система хромая?
На что похоже?
Нетбук самсунг n150 с икспишкой, отсутствующим антивирусником попал ко мне случайно на вечер, не с целью лечения, но дай, думаю, поставлю аваст да докторвебом его пощекочу.
Вроде по слухам ТАК он никогда еще не делал.

Наталья Сергеевна, мы вообще не любители гадать по картам, флэшам, а так же по сурдопереводам. :)
нам попроще будет понять проблему по образу автозапуска системы, если его возможно сделать на этом компе.
(можно из безопасного режима системы)
http://www.tehnari.ru/f150/t81269/
только образ нужен актуальной версией сделать
http://dsrt.dyndns.org/files/uvs_v387.zip

Простите, думала вдруг визуально опознаете такую беду.
Она блокирует экран, тун-тун-тун без конца, ее можно убрать диспетчером задач.

В таком виде (по образу автозапуска) привычнее смотреть состояние системы, поскольку можно увидеть активные процессы, а так же какие файлы сидят в автозапуске + возможность проверки их по уже добавленных сигнатурам и по базе ВирусТотал (а там уже миллионы проверок накоплены)

видно что вот этот файлик запускается периодически из планировщика задач.

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\АНЮТА\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE
Имя файла UPDATETASK.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура Win32/InstallCore.BD [глубина совпадения 64(64), необх. минимум 18, максимум 64]
Сигнатура Adware.Downware.1196 [DrWeb] [глубина совпадения 17(50), необх. минимум 17, максимум 64]

Удовлетворяет критериям
TASK.EXE (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
FOLDERS.LIST (ПОЛНОЕ ИМЯ ~ \DSITE\)(1) [deldirex (2)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 2A425E191B000
Linker 2.25
Размер 84992 байт
Создан 18.03.2013 в 17:07:19
Изменен 18.03.2013 в 17:07:19

TimeStamp 19.06.1992 в 22:22:17
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 6FE956CE33A890840CBA478346A10F0959C34AFB
MD5 CD043EB9F60A095302936524AE86A5E9

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "C:\DOCUME~1\03E9~1\APPLIC~1\DSite\UPDATE~1\UPDATE ~1.EXE" /Check
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v3.87.2 [http://dsrt.dyndns.org]

;Target OS: NTv5.1

v385c

OFFSGNSAVE

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АНЮТА\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE

addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 18 Win32/InstallCore.BD



hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE

;------------------------autoscript---------------------------



chklst

delvir



delref %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\261125~1.80\{C16C1~1\BROWSE~1.DLL



deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АНЮТА\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2



delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=2806005345000000



; Java(TM) 6 Update 26

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet

deltmp

delnfr

;-------------------------------------------------------------



restart

перезагрузка, пишем о старых и новых проблемах.
----------
+
можно сделать проверку в малваребайт для тщательной очистки системы.
http://www.tehnari.ru/f150/t81927/

Спасибо большое, завтра сделаю, он на работе стоит.
п.с. эта гадюка икспишка почему-то обновлялась вчера пол вечера, это нормально? Она же икспишка.

вообще-то выпуск обновлений для XP прекращен. SP3 судя по образу установлен. uVS v3.87 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1 SP3) build 2600 Service Pack 3 [C:\WINDOWS]
да уж, читается как "эта гадюка исподтишка обновлялась пол вечера :).
---------
может другое что-то скачало: акробат реадер и т.п.

да, после скрипта еще в малваребайт сделайте проверку.

Ну скрипт выполняю, вот по поводу обновлений
На скрине далеко не все, там большой список установленных 12.04.2016 обновлений, и вот архив прикрепляю - для интереса.

возможно Микрософт все таки отдает для XP все выпущенные обновления, которые вышли после выпуска SP3. Просто прекратил выпуск новых обновлений.

если скрипт уже выполнился то напишите, исправлена ли проблема с прыгающей флэшей?

Вот файл.
На счет обновлений - наверно да, этот бук использовался для подключения к проектору в кабинете, не было антивируса, но флешки подключали все кому не лень.
И в интернете он видно давнооо не был, я обновила , что смогла.

На счет прыгающего флеша. Ну я этот бук периодически вижу, с него показывают часто фильмы и презентации, так ни разу такого не видели, и после чистки пока ничего не вылезало. Надеюсь, помогло)))