Jump to content

Подозрение за зараза под Windows 7


Препоръчан пост

Здраейте.

Искам да помоля за малко по-подробно обяснение за pagefile.sys........Единственото което знам,че е свързано със виртуалната памет на ОС......Във този файла трупа ли се нова информация със течение на времето при работа на ОС.......И как ви се струват тези няколко реда от Offset-a на моя файл?>:

 

39753.%...Trojan.Agent/Gen-FakeAntiSpy.Process........................*.....................ё...2...ЖQ..ДЇ..i...ДП..H©'.M...Ё...e...­в..11.._С..ўs..hі..u‚..†#..ЕЈ..®....ј..Шж..VЮ..bН..)х..............................яяяя…–.....39754.#...Trojan.Agent/Gen-FraudWare.Process........................*.....................ё...2...ЖQ..ДЇ..i...ДП..H©'.M...Ё...e...­в..11..`П..’s..юг..#|..†#..ЕЈ..<i..`·..Шж..VЮ..ц@..ш..........................р... Ў..…–.....39755.#...Trojan.Agent/Gen-LocalFake.Process........................*.................!...C151313FFC85126FB206CAE411EDA0B5.!...E17B826900909A9035DC0C3D7F0C5383.!...D4157161C05D3CD992431CE803AF99EB.....<љя.....r‘ы.гр..ё...2...ЖQ..ДЇ...Њ..р...s”..Нq..9...6}......Oё..{..Ђf..У.~.гя..^й..+k..ш№..ч)...№..р).......................... †..@...…–.....39756."...Trojan.Agent/Gen-Malagent.Process........................*.....................ј°ы..т..Аiы.wп..ё...2...ЖQ..ДЇ..i...ДП..H©'.M....r..Р...o+..–,..`Е..ј’...ъ..+©...к..=И..~...Gз..іШ...х..ш№..ч)...№..р)..............................яяяя…–.....39757.#...Trojan.Agent/Gen-FakeFraud.Process........................*.................!...ECD76BE227521B8014334E9BC6A617C8.....ё...2...ЖQ..ДЇ..i...ДП..H©'.M...Ё...e...­в..11...й..tl..b9..G–..†#..ЕЈ..ОK..ЗК..Шж..VЮ..§Н..+х.......................... x..°...…–.....39758.!...Trojan.Agent/Gen-FraudAV.Process........................*.....................Ћёя.$...dЉы.ўр..ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M...P1‚.p...ЦҐЫ.µq..Ввl.Cј...+†.. ..J»a.d...........................Р_..p‚..…–.....39759.#...Trojan.Agent/Gen-FraudTool.Process........................*.....................b.ю.`...!oы.Ёп..ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M....»л.&±..Ы8С.nH..и.p.їИ..~х¦..Ў..J»a.d...............................яяяя…–.....39760.#...Trojan.Agent/Gen-FakeAlert.Process........................*.....................ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M...с…..B|..-Ка..†..™.е.№–..ШZо.Ђ»..J»a.d...........................аЋ..Ђ©..…–.....39761.%...Trojan.Agent/Gen-FraudShield.Process........................*.....................ѕ%ю.”...Жpы.·п..ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M....!М.Z4..\.¬. µ...ЗВ.y...Ннr. Ф..J»a.d...............................рI..…–.....39762. ...Trojan.Agent/Gen-Vobfus.Process........................*.....................pЋь.ущ..Ю`ы.&п..ё...2...”№..с...ё...з+..Z&..Ћ...ЖQ..ДЇ..i...ДП..H©'.M...•R..њw..SЮ..¤і..y....Р..Їf..Kh..ЦX..›с..›.~.U...ѕpј.tц..ЁTВ.І...bЮe.љ ..ьт¬.7№.......................... †..@...…–.....39763."...Trojan.Agent/Gen-FakeSoft.Process........................*.....................ј°ы..т..Аiы.wп..ё...2...ЖQ..ДЇ..i...ДП..H©'.M....r..Р...+B...M...R...—..в....©..p_..IЛ..`”..Ћл..DЫ..“х..ш№..ч)...№..р)..............................яяяя…–.....39764.!...Trojan.Agent/Gen-Kryptik.Process........................*.....................G...&...Ѕ–..C/.......................... †..

Link to comment
Сподели другаде

Pagefile-ът е файл, който съдържа т.нар. страници и се използва от memory manager-а на Windows при разпределяне на оперативната памет. Можеш да намериш по-подробно обяснение на въпросния memory manager в този коментар.

Не разбирам обаче какъв е смисълът да го отваряш със шестнадесетичен редактор.

Link to comment
Сподели другаде

Първо,ако е възможно някой админ да редактира заглавието"Windows7 възможно заразяване",което изпуснах във бързането си.Относно pagefile.sys,беше от чисто любопитство.Свалих си HBCD за което бях чел,че има програми за сканираане и т.н.И сега по същество.Виждате до къде съм стигнал във отчаянието си да разбера какво тормози машината.Ще започна със това,че статията "защита от злонамерен софтуер" съм я изчел цялата.Първата защитна стена която реших да ползвам беше online armor,сега съм със CIS......Първото съмнително нещо е,че след инсталиране на firewalla (това се е случвало и със двете програми) след като настроя връзката със нета(PPOe) и пусна ъпдейтите на Windows.......и двете ми отчитаха,че се стартира PING.exe първия път 1 час след пълна преинсталация на вин......сгеа със CIS sled 2 дни от преисталацията.Във момента във който се стартира ping.exe...... харда се затормозява така може и час да седи без видима причина.......Във момента машината на моменти е доста бавна намирал съм т.е. виждам и някакви компресирани файлове (на които не им помня името)но една от папките беше със име "WebTracking".Та преди да ползвам нет-а,по препоръки от статията си сменям DNS,включвам UAC,DEP.....Сега на CIS дори ARP заявките съм пуснал да се следят.........Другите програми които ползвам са malwarebytes (trial) засега и superantispyware......Всички след сканиране не намират нищо.........След всеки рестарт се появява прозорец,че имало програми във фонов режим,но не им дава имената,само опция за принудително рестартиране.....Това е общо взето,ако някой има предложения за други програми или да дам шот на въпросните компресирани файле и папки(които междудругото не всеки път са видими)........

Дори и във момента харда е "ангажиран" незнайно защо/////Проблеми със зареждане на сайтове нямам.Това е общо взето.Та си мисля дали да сменя доставчика,като се има предвид рези чести атаки (не знам какво точно е) ......Щях да забравя и двете програми(Online Armor и CIS не ползвам двете заедно :D) постоянно блокират някакви IP......Дано се намери решение/

Link to comment
Сподели другаде

Нямаш зараза в ОС,просто избора и начина на инсталиране на определени програми ти правят проблеми.На първо място деинсталирай Malwarebytes / trial / - използвай безплатната версия / върши доста добра работа и товари само,когато ръчно я пуснеш да сканира / http://www.malwarebytes.org/products/malwarebytes_free .На второ място деинсталирай CIS - като цяло пакета е не добре ефективен и товари и забавя нета.Инсталирай си само COMODO Firewall http://www.comodo.com/home/internet-security/firewall.php?key5sk1=c98063f5922a0a2f968516a42c41413634c80bfe&key5sk2=&key5sk3=1334901534000&key5sk4=&key5sk5=1334901573000&key6sk1=comodo+firewall&key6sk2=CH1801025142&key6sk3=7&key6sk4=bg-bg&key6sk5=BG&key6sk6=0&key6sk7=Google&key6sk8=112202&key6sk9=1366768&key6sk10=true&key6sk11=0a478b01a074e11df963a8e9e803d4845efa9525&key7sk1=23&key1sk1=ors&key1sk2=Google&key1sk3=comodo+firewall - по време на инсталацията забраняваш DNS сървърите за използване на COMODO,toolbar инсталациите,избираш само Firewall за инсталация/виртуален облак и Защита+ не ти трябват - само ще те подлудяват от съобщения и при инсталации на програми ще бъдеш поставян в положение на недоумение за доста неща/.Като я инсталираш я остави на настройки по подразбиране на първо време / после си експерементирай с настройките и ще видиш какви ще бъдат резултатите - за някои неща си заслужава да се променят /.Инсталираш за антивирусна Avira Free http://www.avira.com/en/avira-free-antivirus - по време на инсталацията и задаваш advanced настройки и по нататък в инсталацията избираш да стартира secure boot / другите настройки на програмата ще си ги нагласиш в последствие на макс /.За Task Manager използвай това - http://www.100freeware.com/2012/02/download-anvir-task-manager-free-650.html / в настройките му след инсталацията задаваш да замени вградения в Windows,по време на инсталацията също следиш за премахване на ненужни услуги и toolbar /,чрез него ще следиш лесно какво става,стартира с Windows,какво иска да се набута при стартиращите програми по време на инсталация и много други полезни неща.Ползвай само тази версия - стабилна и пробвана дълго време.Успех!
Link to comment
Сподели другаде

За безплатна антивирусна, аз бих избрал Avast Free. Avira е добра антивирусна, но изскачащите й рекламни прозорци при всеки ъпдейт са доволно досадни. Освен това, напоследък цъфва и един, който подканя за гласуване за нещо си във фейсбук.

За разширена алтернатива на Task Manager, бих се спрял без да се замислям на Process Explorer. Показва повече от подробна информация и също има настройка, която му позволява да замести Task Manager. Фактор за мен е и че можеш да си използваш без проблем всяка нова версия и няма боклуци в инсталатора, за разлика от AnVir. :)

Link to comment
Сподели другаде

  • 2 weeks later...
Благодаря за съветите,но още не доумявам защо хард диска е постоянно "ангажиран".Изключих всички планирани задачи за сканиране,авто ъпдейтите и т.н.За скоростта на интернета нямам оплаквания ръчно съм заменил DNS-те......Това което ми прави впечатление е,че след като започне да "мисли" храда и изключа нета се успокоява ...........Затова подозирам,че имам някаква "гадина" на машината..........и май добре скрита........И както споменах някакви архивирани папки ..............И какво е това MIGWIZ ......никога не съм го стартирал а посточнно си прави някакви настройки........т.е. изкачат нови LOG. файлове във TEMP директорията
Link to comment
Сподели другаде

А въобще сканирал ли си за зловреден код и ако да, с какви приложения?

Да malwarebyte anti-malware,super anti-spyware и CIS,също пусках OTL и ComboFix

Това е информация за процеса MIGWIZ.exe - http://www.processli...s/migwiz/28336/ .Ако не си дефрагментирал скоро - направи го и не забравяй да рестартираш.

Периодично със Auslogics

 

Също ми е любопитно и какви са тези ICMP заявки към моята машина...........

 

Днес говорих със мой познат и ми препоръча PC Tools spyware doctor......\но преди него ще изчакам и за други предложния////////////

Link to comment
Сподели другаде

За ICMP заявките - http://en.wikipedia....essage_Protocol .

 

Може да пуснеш тази програма - http://www.softpedia.../AutoRuns.shtml / в лог прозореца на програмата оцветеното е подозрителен процес /.Тази също върши работа - http://www.softpedia...Inspector.shtml , както и тази - http://www.runscanner.net/ . PC Tools spyware doctor - не си губи времето и нервите с тая шитня.

Link to comment
Сподели другаде

също пусках OTL и ComboFix

OTL не е инструмент за автоматично сканиране и премахване на зловреден код. Той изисква анализ от експерт. ComboFix е пък инструмент, който не бива да се използва от неопитни потребители и не е проектиран за профилактични сканирания като Malwarebytes Anti-Malware например.

Link to comment
Сподели другаде

За ICMP заявките - http://en.wikipedia....essage_Protocol .

 

Може да пуснеш тази програма - http://www.softpedia.../AutoRuns.shtml / в лог прозореца на програмата оцветеното е подозрителен процес /.Тази също върши работа - http://www.softpedia...Inspector.shtml , както и тази - http://www.runscanner.net/ . PC Tools spyware doctor - не си губи времето и нервите с тая шитня.

 

Единственото подозрително което намира (AutoRuns) е catchme.sys и RTcore......според google всичко е OK////

 

Благодаря на отзовалите се.Искам да попитам само едно последно нещо.Malwarebytes anti-malware справя ли се добре със keyloger-и единствено това ме притеснява..........заради акаунти за разплащане.........или препоръчайте някоя добра.......Но доколкото рабрах от статията на Night_Raven......CIS и дори ComodoFirewall би трябвало да се справя прилично със такъв вид заплаха........

Редактиран от Vasko12
Link to comment
Сподели другаде

За Antikeyloger софтуер,това е доста добро - http://www.zemana.com/ .COMODO Firewall е доста добра стена,но за по-напреднали.Плащанията да се извършват само чрез сигурно чиста от бацили машина.
Link to comment
Сподели другаде

Благодаря на отзовалите се.Искам да попитам само едно последно нещо.Malwarebytes anti-malware справя ли се добре със keyloger-и единствено това ме притеснява..........заради акаунти за разплащане.........или препоръчайте някоя добра.......Но доколкото рабрах от статията на Night_Raven......CIS и дори ComodoFirewall би трябвало да се справя прилично със такъв вид заплаха........

Malwarebytes Anti-Malware И Comodo Firewall са две напълно различни като предназначение приложения. Аз не знам теб какво те интересува.

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...