Это вирус?

Счастье · 12.04.2016, 21:09

Или система хромая?
На что похоже?
Нетбук самсунг n150 с икспишкой, отсутствующим антивирусником попал ко мне случайно на вечер, не с целью лечения, но дай, думаю, поставлю аваст да докторвебом его пощекочу.
Вроде по слухам ТАК он никогда еще не делал.

safety · 12.04.2016, 22:33

Наталья Сергеевна, мы вообще не любители гадать по картам, флэшам, а так же по сурдопереводам.

нам попроще будет понять проблему по образу автозапуска системы, если его возможно сделать на этом компе.
(можно из безопасного режима системы)
Как создать образ автозапуска в uVS. Краткая инструкция
только образ нужен актуальной версией сделать
http://dsrt.dyndns.org/files/uvs_v387.zip

Счастье · 13.04.2016, 06:19

Простите, думала вдруг визуально опознаете такую беду.
Она блокирует экран, тун-тун-тун без конца, ее можно убрать диспетчером задач.

safety · 13.04.2016, 06:53

В таком виде (по образу автозапуска) привычнее смотреть состояние системы, поскольку можно увидеть активные процессы, а так же какие файлы сидят в автозапуске + возможность проверки их по уже добавленных сигнатурам и по базе ВирусТотал (а там уже миллионы проверок накоплены)

видно что вот этот файлик запускается периодически из планировщика задач.

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\АНЮТА\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE
Имя файла UPDATETASK.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура Win32/InstallCore.BD [глубина совпадения 64(64), необх. минимум 18, максимум 64]
Сигнатура Adware.Downware.1196 [DrWeb] [глубина совпадения 17(50), необх. минимум 17, максимум 64]

Удовлетворяет критериям
TASK.EXE (ССЫЛКА ~ .JOB)(1) AND (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
FOLDERS.LIST (ПОЛНОЕ ИМЯ ~ \DSITE\)(1) [deldirex (2)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 2A425E191B000
Linker 2.25
Размер 84992 байт
Создан 18.03.2013 в 17:07:19
Изменен 18.03.2013 в 17:07:19

TimeStamp 19.06.1992 в 22:22:17
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 6FE956CE33A890840CBA478346A10F0959C34AFB
MD5 CD043EB9F60A095302936524AE86A5E9

Ссылки на объект
Ссылка C:\WINDOWS\TASKS\AT1.JOB
Значение "C:\DOCUME~1\03E9~1\APPLIC~1\DSite\UPDATE~1\UPDATE ~1.EXE" /Check
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

safety · 13.04.2016, 06:57

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АНЮТА\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 18 Win32/InstallCore.BD

hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\261125~1.80\{C16C1~1\BROWSE~1.DLL

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АНЮТА\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2

delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=2806005345000000

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
+
можно сделать проверку в малваребайт для тщательной очистки системы.
Как создать лог сканирования в malwarebytes?

Счастье · 13.04.2016, 12:33

Спасибо большое, завтра сделаю, он на работе стоит.
п.с. эта гадюка икспишка почему-то обновлялась вчера пол вечера, это нормально? Она же икспишка.

safety · 13.04.2016, 13:29

вообще-то выпуск обновлений для XP прекращен. SP3 судя по образу установлен. uVS v3.87 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1 SP3) build 2600 Service Pack 3 [C:\WINDOWS]
да уж, читается как "эта гадюка исподтишка обновлялась пол вечера

.
---------
может другое что-то скачало: акробат реадер и т.п.

да, после скрипта еще в малваребайт сделайте проверку.

Счастье · 14.04.2016, 11:31

Ну скрипт выполняю, вот по поводу обновлений
На скрине далеко не все, там большой список установленных 12.04.2016 обновлений, и вот архив прикрепляю - для интереса.

safety · 14.04.2016, 12:37

возможно Микрософт все таки отдает для XP все выпущенные обновления, которые вышли после выпуска SP3. Просто прекратил выпуск новых обновлений.

если скрипт уже выполнился то напишите, исправлена ли проблема с прыгающей флэшей?

Счастье · 14.04.2016, 12:59

Вот файл.
На счет обновлений - наверно да, этот бук использовался для подключения к проектору в кабинете, не было антивируса, но флешки подключали все кому не лень.
И в интернете он видно давнооо не был, я обновила , что смогла.

На счет прыгающего флеша. Ну я этот бук периодически вижу, с него показывают часто фильмы и презентации, так ни разу такого не видели, и после чистки пока ничего не вылезало. Надеюсь, помогло)))

12.04.2016, 21:09	#1 (permalink)
Счастье Не очень хороший человек Регистрация: 01.12.2012 Сообщений: 6,155 Записей в дневнике: 18 Сказал(а) спасибо: 1,305 Поблагодарили 755 раз(а) в 231 сообщениях Репутация: 98885	Это вирус? Или система хромая? На что похоже? Нетбук самсунг n150 с икспишкой, отсутствующим антивирусником попал ко мне случайно на вечер, не с целью лечения, но дай, думаю, поставлю аваст да докторвебом его пощекочу. Вроде по слухам ТАК он никогда еще не делал. __________________ Все будет хорошо.

13.04.2016, 06:57	#5 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АНЮТА\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 18 Win32/InstallCore.BD hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\261125~1.80\{C16C1~1\BROWSE~1.DLL deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АНЮТА\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2 delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=2806005345000000 ; Java(TM) 6 Update 26 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- + можно сделать проверку в малваребайт для тщательной очистки системы. Как создать лог сканирования в malwarebytes?

13.04.2016, 12:33	#6 (permalink)
Счастье Не очень хороший человек Регистрация: 01.12.2012 Сообщений: 6,155 Записей в дневнике: 18 Сказал(а) спасибо: 1,305 Поблагодарили 755 раз(а) в 231 сообщениях Репутация: 98885	Спасибо большое, завтра сделаю, он на работе стоит. п.с. эта гадюка икспишка почему-то обновлялась вчера пол вечера, это нормально? Она же икспишка. __________________ Все будет хорошо.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

12.04.2016, 22:33	#2 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	Наталья Сергеевна, мы вообще не любители гадать по картам, флэшам, а так же по сурдопереводам. нам попроще будет понять проблему по образу автозапуска системы, если его возможно сделать на этом компе. (можно из безопасного режима системы) Как создать образ автозапуска в uVS. Краткая инструкция только образ нужен актуальной версией сделать http://dsrt.dyndns.org/files/uvs_v387.zip

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

13.04.2016, 13:29	#7 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	вообще-то выпуск обновлений для XP прекращен. SP3 судя по образу установлен. uVS v3.87 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1 SP3) build 2600 Service Pack 3 [C:\WINDOWS] да уж, читается как "эта гадюка исподтишка обновлялась пол вечера . --------- может другое что-то скачало: акробат реадер и т.п. да, после скрипта еще в малваребайт сделайте проверку.

14.04.2016, 12:37	#9 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	возможно Микрософт все таки отдает для XP все выпущенные обновления, которые вышли после выпуска SP3. Просто прекратил выпуск новых обновлений. если скрипт уже выполнился то напишите, исправлена ли проблема с прыгающей флэшей?