Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 17.08.2011, 15:10   #1 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
Thumbs down Возможно вирус!!!

Добрый день! Высокая загрузка ЦП до 100%. Сделана проверка в AVZ, файл размещен на файлообменике: http://depositfiles.com/files/kfgxj6v3p
Проанализируйте пожалуйста. Жду комментариев
dmsOlga вне форума  
Старый 17.08.2011, 16:46   #2 (ссылка)
Мастер
 
Аватар для maksimog
 
Регистрация: 08.07.2011
Сообщений: 6,292
Репутация: 631
По умолчанию

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Далее новый лог.
maksimog вне форума  
Старый 17.08.2011, 17:55   #3 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

Базу обновила, новый лог: http://depositfiles.com/files/zna3chs49
dmsOlga вне форума  
Старый 17.08.2011, 21:02   #4 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

а других обменников не знаете? например, http://grhost.ru
safety вне форума  
Старый 17.08.2011, 21:33   #5 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

Спасибо что подсказали, вот другой файлообменник: http://rghost.ru/18311151
dmsOlga вне форума  
Старый 17.08.2011, 21:50   #6 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

сделайте дополнительно образ автозапуска в uVS

обновите утилиту uVS до версии 3.69
http://dsrt.dyndns.org/files/uvs_v369.zip

или отсюда, для тек кто дружит с Avast (или GData)

http://rghost.ru/17779731

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраняем файл, добавляем в архив rar или 7z и заливаем на форум.
safety вне форума  
Старый 17.08.2011, 22:02   #7 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

Вот дополнительный образ автозапуска в uVS: http://rghost.ru/18315141
dmsOlga вне форума  
Старый 17.08.2011, 22:28   #8 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

без антивирусов работаете? надежда на Comodo Machine Time?
подозрительных файлов в логе нет,
можно только очистку системы сделать в uVS,
закрыть браузеры,
-----------------
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код:
;uVS v3.69 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUME~1\OLGA\LOCALS~1\TEMP\RAR$EX01.593\PISXOJ
deltmp
delnfr
regt 1
regt 2
regt 5
regt 18
restart
перезагрузка,
-------------
дополнительно проверим с помощью малваребайт
------------
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!), обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (в виде файла) добавить в ваше сообщение на форум.

---------- Добавлено в 00:28 ---------- Предыдущее сообщение было написано в 00:22 ----------

Сорри, Симантек все таки есть
------------------
Цитата:
C:\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\18.6.0.29\CCSVCHST.EXE
safety вне форума  
Ads
Старый 17.08.2011, 23:56   #9 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

Comodo Machine Time установила для отката системы, т.к. восстановление системы в windows по каким-то причинам не работает (точнее сказать крайне редко срабатывает). А по-скольку юное поколение тоже проводит время за компом, то приходится использовать данную функцию, без нее никак.
Тестовый лог программы malwarebytes: http://rghost.ru/18330311

Большое спасибо за консультации! )
dmsOlga вне форума  
Старый 17.08.2011, 23:59   #10 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

И как работает CMT? стабильно? приходилось восстанавливать состояние системы с ее помощью? По более ранним версиям ее были нарекания, поэтому не рискнул поставить на свои компьютеры
----------
лог чистый, возможно в чем то другом причина загрузки процессора
safety вне форума  
Старый 18.08.2011, 00:03   #11 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

Проблем с СМТ пока не возникало, только с его помощью и восстанавливаю. Спасибо!

---------- Добавлено в 23:03 ---------- Предыдущее сообщение было написано в 23:02 ----------

Одна проблема отпала, будем разбираться дальше.
dmsOlga вне форума  
Старый 18.08.2011, 00:14   #12 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

вот эту программу специалисты рекомендуют для создания копий реестра.
ERUNT
http://www.larshederer.homepage.t-online.de/erunt/

---------- Добавлено в 02:08 ---------- Предыдущее сообщение было написано в 02:03 ----------

вот еще вопрос:
uVS вы запускали из архива? или это какой то другой процесс?
------------------
Цитата:
Полное имя C:\DOCUME~1\OLGA\LOCALS~1\TEMP\RAR$EX01.593\PISXOJ
Имя файла PISXOJ
Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Расширение Подозрительное расширение файла для обычного процесса
Имя/путь до файла Возможно искажены или файл был перемещен/удален/переименован
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
pid = 2976 NT AUTHORITY\SYSTEM
CmdLine 272


---------- Добавлено в 02:14 ---------- Предыдущее сообщение было написано в 02:08 ----------

и вот этот файл подозрителен, посколку подписан как утилита Руссиновича,
но в текущем паке SysInternalsSuite от Руссиновича файл имеет другое название
pagedfrg.exe
-------------------
Цитата:
Полное имя C:\WINDOWS\SYSTEM32\PGDFGSVC.EXE
Имя файла PGDFGSVC.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com Не удалось получить ответ от сервера.

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 25992 байт
Создан 17.08.2011 в 11:23:49
Изменен 17.08.2011 в 11:23:49
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя pagedfrg.exe
Версия файла 2.31
Версия продукта 2.31
Описание Page File Defragmenter
Продукт Page File Defragmenter
Copyright Copyright (C) M. Russinovich 1996-2004
Производитель Sysinternals - www.sysinternals.com

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 14494F20F373167E9C946297AC420497A9B38C68
MD5 8CF7C3AE5F358E75EB273AF06E8F78CA

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
BootExecute autocheck autochk *
safety вне форума  
Старый 18.08.2011, 12:05   #13 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

uVS запустила из архива, а что делать с этими подозрительными файлами?
dmsOlga вне форума  
Старый 18.08.2011, 12:12   #14 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

вообще, лучше предварительно раскрыть архив в папку, а уж из нее стартовать uVS

---------- Добавлено в 14:12 ---------- Предыдущее сообщение было написано в 14:10 ----------

этот файл (возможно просто старая еще версия утилиты Руссиновича)
Цитата:
C:\WINDOWS\SYSTEM32\PGDFGSVC.EXE
проверьте на ВирусТотал
http://virustotal.com
линк проверки запостите на форум
safety вне форума  
Старый 18.08.2011, 13:58   #15 (ссылка)
Новичок
 
Регистрация: 17.08.2011
Сообщений: 18
Репутация: 0
По умолчанию

Вот что получилось:
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: pgdfgsvc.exe
Submission date: 2011-08-18 08:41:10 (UTC)
Current status: finished
Result: 0/ 44 (0.0%)
VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.17.01 2011.08.17 -
AntiVir 7.11.13.117 2011.08.17 -
Antiy-AVL 2.0.3.7 2011.08.18 -
Avast 4.8.1351.0 2011.08.17 -
Avast5 5.0.677.0 2011.08.17 -
AVG 10.0.0.1190 2011.08.17 -
BitDefender 7.2 2011.08.18 -
ByteHero 1.0.0.1 2011.08.18 -
CAT-QuickHeal 11.00 2011.08.17 -
ClamAV 0.97.0.0 2011.08.18 -
Commtouch 5.3.2.6 2011.08.18 -
Comodo 9786 2011.08.18 -
DrWeb 5.0.2.03300 2011.08.18 -
Emsisoft 5.1.0.10 2011.08.18 -
eSafe 7.0.17.0 2011.08.17 -
eTrust-Vet 36.1.8507 2011.08.17 -
F-Prot 4.6.2.117 2011.08.18 -
F-Secure 9.0.16440.0 2011.08.18 -
Fortinet 4.2.257.0 2011.08.18 -
GData 22 2011.08.18 -
Ikarus T3.1.1.107.0 2011.08.18 -
Jiangmin 13.0.900 2011.08.17 -
K7AntiVirus 9.109.5026 2011.08.17 -
Kaspersky 9.0.0.837 2011.08.18 -
McAfee 5.400.0.1158 2011.08.18 -
McAfee-GW-Edition 2010.1D 2011.08.17 -
Microsoft 1.7604 2011.08.18 -
NOD32 6387 2011.08.18 -
Norman 6.07.10 2011.08.17 -
nProtect 2011-08-18.01 2011.08.18 -
Panda 10.0.3.5 2011.08.17 -
PCTools 8.0.0.5 2011.08.18 -
Prevx 3.0 2011.08.18 -
Rising 23.71.02.03 2011.08.17 -
Sophos 4.68.0 2011.08.18 -
SUPERAntiSpyware 4.40.0.1006 2011.08.17 -
Symantec 20111.2.0.82 2011.08.18 -
TheHacker 6.7.0.1.279 2011.08.18 -
TrendMicro 9.500.0.1008 2011.08.17 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.18 -
VBA32 3.12.16.4 2011.08.17 -
VIPRE 10197 2011.08.18 -
ViRobot 2011.8.18.4626 2011.08.18 -
VirusBuster 14.0.174.0 2011.08.17 -
Additional informationShow all
MD5 : 8cf7c3ae5f358e75eb273af06e8f78ca
SHA1 : 14494f20f373167e9c946297ac420497a9b38c68
SHA256: 52bec0690228c0038e7d1022795e7988c39abffb7db7075d27 892a2f6120754d
VT Community
dmsOlga вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
не могу удалить IE8 - не находит в списке программ, возможно вирус Murzik Безопасность 9 08.08.2011 17:08
Долго загружается Windows. Возможно вирус BrzenK Безопасность 16 05.08.2011 16:47
Вирус блокирует браузеры (Ростелеком) Возможно Trojan.Win32.Ddox.ci vitalizer Безопасность 1 03.08.2011 12:26
Вирус, возможно кейлогер и что то еще. GTR Безопасность 11 13.06.2011 09:59
Возможно вирус Galbatron Безопасность 16 07.02.2011 20:11
Проблема с сетью (возможно вирус) sAlity Интернет и сети 10 24.11.2010 00:17
возможно вирус,загрузка процессора 100% dnsarlt Безопасность 11 24.08.2010 18:54
Возможно вирус посмотрите пожалуйста! AlexK Безопасность 4 18.08.2010 23:05
Возможно вирус Ilsoyar Безопасность 5 03.04.2010 02:39
Возможно вирус kaktus Безопасность 6 22.02.2010 11:34
Возможно вирус!!! TOKAPEB Безопасность 4 03.12.2009 12:17
возможно вирус shamik15 Безопасность 3 26.10.2009 19:16


Текущее время: 18:00. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.