Подозрение за зараза под Windows 7

[Vasko12]

Здраейте.

Искам да помоля за малко по-подробно обяснение за pagefile.sys........Единственото което знам,че е свързано със виртуалната памет на ОС......Във този файла трупа ли се нова информация със течение на времето при работа на ОС.......И как ви се струват тези няколко реда от Offset-a на моя файл?>:

 

39753.%...Trojan.Agent/Gen-FakeAntiSpy.Process........................*.....................ё...2...ЖQ..ДЇ..i...ДП..H©'.M...Ё...e...­в..11.._С..ўs..hі..u‚..†#..ЕЈ..®....ј..Шж..VЮ..bН..)х..............................яяяя…–.....39754.#...Trojan.Agent/Gen-FraudWare.Process........................*.....................ё...2...ЖQ..ДЇ..i...ДП..H©'.M...Ё...e...­в..11..`П..’s..юг..#|..†#..ЕЈ..<i..`·..Шж..VЮ..ц@..ш..........................р... Ў..…–.....39755.#...Trojan.Agent/Gen-LocalFake.Process........................*.................!...C151313FFC85126FB206CAE411EDA0B5.!...E17B826900909A9035DC0C3D7F0C5383.!...D4157161C05D3CD992431CE803AF99EB.....<љя.....r‘ы.гр..ё...2...ЖQ..ДЇ...Њ..р...s”..Нq..9...6}......Oё..{..Ђf..У.~.гя..^й..+k..ш№..ч)...№..р).......................... †..@...…–.....39756."...Trojan.Agent/Gen-Malagent.Process........................*.....................ј°ы..т..Аiы.wп..ё...2...ЖQ..ДЇ..i...ДП..H©'.M....r..Р...o+..–,..`Е..ј’...ъ..+©...к..=И..~...Gз..іШ...х..ш№..ч)...№..р)..............................яяяя…–.....39757.#...Trojan.Agent/Gen-FakeFraud.Process........................*.................!...ECD76BE227521B8014334E9BC6A617C8.....ё...2...ЖQ..ДЇ..i...ДП..H©'.M...Ё...e...­в..11...й..tl..b9..G–..†#..ЕЈ..ОK..ЗК..Шж..VЮ..§Н..+х.......................... x..°...…–.....39758.!...Trojan.Agent/Gen-FraudAV.Process........................*.....................Ћёя.$...dЉы.ўр..ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M...P1‚.p...ЦҐЫ.µq..Ввl.Cј...+†.. ..J»a.d...........................Р_..p‚..…–.....39759.#...Trojan.Agent/Gen-FraudTool.Process........................*.....................b.ю.`...!oы.Ёп..ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M....»л.&±..Ы8С.nH..и.p.їИ..~х¦..Ў..J»a.d...............................яяяя…–.....39760.#...Trojan.Agent/Gen-FakeAlert.Process........................*.....................ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M...с…..B|..-Ка..†..™.е.№–..ШZо.Ђ»..J»a.d...........................аЋ..Ђ©..…–.....39761.%...Trojan.Agent/Gen-FraudShield.Process........................*.....................ѕ%ю.”...Жpы.·п..ё...2...”№..с...ё...з+..Э:..Ъf..«R...w..Z&..Ћ...ЖQ..ДЇ..mЮ..Ґі..Ц...0Р..W3..|р..i...ДП..H©'.M....!М.Z4..\.¬. µ...ЗВ.y...Ннr. Ф..J»a.d...............................рI..…–.....39762. ...Trojan.Agent/Gen-Vobfus.Process........................*.....................pЋь.ущ..Ю`ы.&п..ё...2...”№..с...ё...з+..Z&..Ћ...ЖQ..ДЇ..i...ДП..H©'.M...•R..њw..SЮ..¤і..y....Р..Їf..Kh..ЦX..›с..›.~.U...ѕpј.tц..ЁTВ.І...bЮe.љ ..ьт¬.7№.......................... †..@...…–.....39763."...Trojan.Agent/Gen-FakeSoft.Process........................*.....................ј°ы..т..Аiы.wп..ё...2...ЖQ..ДЇ..i...ДП..H©'.M....r..Р...+B...M...R...—..в....©..p_..IЛ..`”..Ћл..DЫ..“х..ш№..ч)...№..р)..............................яяяя…–.....39764.!...Trojan.Agent/Gen-Kryptik.Process........................*.....................G...&...Ѕ–..C/.......................... †..

[Night_Raven]

Pagefile-ът е файл, който съдържа т.нар. страници и се използва от memory manager-а на Windows при разпределяне на оперативната памет. Можеш да намериш по-подробно обяснение на въпросния memory manager в този коментар.

Не разбирам обаче какъв е смисълът да го отваряш със шестнадесетичен редактор.

[Vasko12]

Първо,ако е възможно някой админ да редактира заглавието"Windows7 възможно заразяване",което изпуснах във бързането си.Относно pagefile.sys,беше от чисто любопитство.Свалих си HBCD за което бях чел,че има програми за сканираане и т.н.И сега по същество.Виждате до къде съм стигнал във отчаянието си да разбера какво тормози машината.Ще започна със това,че статията "защита от злонамерен софтуер" съм я изчел цялата.Първата защитна стена която реших да ползвам беше online armor,сега съм със CIS......Първото съмнително нещо е,че след инсталиране на firewalla (това се е случвало и със двете програми) след като настроя връзката със нета(PPOe) и пусна ъпдейтите на Windows.......и двете ми отчитаха,че се стартира PING.exe първия път 1 час след пълна преинсталация на вин......сгеа със CIS sled 2 дни от преисталацията.Във момента във който се стартира ping.exe...... харда се затормозява така може и час да седи без видима причина.......Във момента машината на моменти е доста бавна намирал съм т.е. виждам и някакви компресирани файлове (на които не им помня името)но една от папките беше със име "WebTracking".Та преди да ползвам нет-а,по препоръки от статията си сменям DNS,включвам UAC,DEP.....Сега на CIS дори ARP заявките съм пуснал да се следят.........Другите програми които ползвам са malwarebytes (trial) засега и superantispyware......Всички след сканиране не намират нищо.........След всеки рестарт се появява прозорец,че имало програми във фонов режим,но не им дава имената,само опция за принудително рестартиране.....Това е общо взето,ако някой има предложения за други програми или да дам шот на въпросните компресирани файле и папки(които междудругото не всеки път са видими)........

Дори и във момента харда е "ангажиран" незнайно защо/////Проблеми със зареждане на сайтове нямам.Това е общо взето.Та си мисля дали да сменя доставчика,като се има предвид рези чести атаки (не знам какво точно е) ......Щях да забравя и двете програми(Online Armor и CIS не ползвам двете заедно ) постоянно блокират някакви IP......Дано се намери решение/

[leon70]

Нямаш зараза в ОС,просто избора и начина на инсталиране на определени програми ти правят проблеми.На първо място деинсталирай Malwarebytes / trial / - използвай безплатната версия / върши доста добра работа и товари само,когато ръчно я пуснеш да сканира / http://www.malwarebytes.org/products/malwarebytes_free .На второ място деинсталирай CIS - като цяло пакета е не добре ефективен и товари и забавя нета.Инсталирай си само COMODO Firewall http://www.comodo.com/home/internet-security/firewall.php?key5sk1=c98063f5922a0a2f968516a42c41413634c80bfe&key5sk2=&key5sk3=1334901534000&key5sk4=&key5sk5=1334901573000&key6sk1=comodo+firewall&key6sk2=CH1801025142&key6sk3=7&key6sk4=bg-bg&key6sk5=BG&key6sk6=0&key6sk7=Google&key6sk8=112202&key6sk9=1366768&key6sk10=true&key6sk11=0a478b01a074e11df963a8e9e803d4845efa9525&key7sk1=23&key1sk1=ors&key1sk2=Google&key1sk3=comodo+firewall - по време на инсталацията забраняваш DNS сървърите за използване на COMODO,toolbar инсталациите,избираш само Firewall за инсталация/виртуален облак и Защита+ не ти трябват - само ще те подлудяват от съобщения и при инсталации на програми ще бъдеш поставян в положение на недоумение за доста неща/.Като я инсталираш я остави на настройки по подразбиране на първо време / после си експерементирай с настройките и ще видиш какви ще бъдат резултатите - за някои неща си заслужава да се променят /.Инсталираш за антивирусна Avira Free http://www.avira.com/en/avira-free-antivirus - по време на инсталацията и задаваш advanced настройки и по нататък в инсталацията избираш да стартира secure boot / другите настройки на програмата ще си ги нагласиш в последствие на макс /.За Task Manager използвай това - http://www.100freeware.com/2012/02/download-anvir-task-manager-free-650.html / в настройките му след инсталацията задаваш да замени вградения в Windows,по време на инсталацията също следиш за премахване на ненужни услуги и toolbar /,чрез него ще следиш лесно какво става,стартира с Windows,какво иска да се набута при стартиращите програми по време на инсталация и много други полезни неща.Ползвай само тази версия - стабилна и пробвана дълго време.Успех!

[draco_volans]

За безплатна антивирусна, аз бих избрал Avast Free. Avira е добра антивирусна, но изскачащите й рекламни прозорци при всеки ъпдейт са доволно досадни. Освен това, напоследък цъфва и един, който подканя за гласуване за нещо си във фейсбук.

За разширена алтернатива на Task Manager, бих се спрял без да се замислям на Process Explorer. Показва повече от подробна информация и също има настройка, която му позволява да замести Task Manager. Фактор за мен е и че можеш да си използваш без проблем всяка нова версия и няма боклуци в инсталатора, за разлика от AnVir.

[Vasko12]

Благодаря за съветите,но още не доумявам защо хард диска е постоянно "ангажиран".Изключих всички планирани задачи за сканиране,авто ъпдейтите и т.н.За скоростта на интернета нямам оплаквания ръчно съм заменил DNS-те......Това което ми прави впечатление е,че след като започне да "мисли" храда и изключа нета се успокоява ...........Затова подозирам,че имам някаква "гадина" на машината..........и май добре скрита........И както споменах някакви архивирани папки ..............И какво е това MIGWIZ ......никога не съм го стартирал а посточнно си прави някакви настройки........т.е. изкачат нови LOG. файлове във TEMP директорията

[Night_Raven]

А въобще сканирал ли си за зловреден код и ако да, с какви приложения?

[leon70]

Това е информация за процеса MIGWIZ.exe - http://www.processlibrary.com/directory/files/migwiz/28336/ .Ако не си дефрагментирал скоро - направи го и не забравяй да рестартираш.

[Vasko12]

А въобще сканирал ли си за зловреден код и ако да, с какви приложения?

Да malwarebyte anti-malware,super anti-spyware и CIS,също пусках OTL и ComboFix

Това е информация за процеса MIGWIZ.exe - http://www.processli...s/migwiz/28336/ .Ако не си дефрагментирал скоро - направи го и не забравяй да рестартираш.

Периодично със Auslogics

 

Също ми е любопитно и какви са тези ICMP заявки към моята машина...........

 

Днес говорих със мой познат и ми препоръча PC Tools spyware doctor......\но преди него ще изчакам и за други предложния////////////

[leon70]

За ICMP заявките - http://en.wikipedia....essage_Protocol .

 

Може да пуснеш тази програма - http://www.softpedia.../AutoRuns.shtml / в лог прозореца на програмата оцветеното е подозрителен процес /.Тази също върши работа - http://www.softpedia...Inspector.shtml , както и тази - http://www.runscanner.net/ . PC Tools spyware doctor - не си губи времето и нервите с тая шитня.

[Night_Raven]

също пусках OTL и ComboFix

OTL не е инструмент за автоматично сканиране и премахване на зловреден код. Той изисква анализ от експерт. ComboFix е пък инструмент, който не бива да се използва от неопитни потребители и не е проектиран за профилактични сканирания като Malwarebytes Anti-Malware например.

[Vasko12]

За ICMP заявките - http://en.wikipedia....essage_Protocol .

 

Може да пуснеш тази програма - http://www.softpedia.../AutoRuns.shtml / в лог прозореца на програмата оцветеното е подозрителен процес /.Тази също върши работа - http://www.softpedia...Inspector.shtml , както и тази - http://www.runscanner.net/ . PC Tools spyware doctor - не си губи времето и нервите с тая шитня.

 

Единственото подозрително което намира (AutoRuns) е catchme.sys и RTcore......според google всичко е OK////

 

Благодаря на отзовалите се.Искам да попитам само едно последно нещо.Malwarebytes anti-malware справя ли се добре със keyloger-и единствено това ме притеснява..........заради акаунти за разплащане.........или препоръчайте някоя добра.......Но доколкото рабрах от статията на Night_Raven......CIS и дори ComodoFirewall би трябвало да се справя прилично със такъв вид заплаха........

Редактиран Април 30, 2012 от Vasko12

[leon70]

За Antikeyloger софтуер,това е доста добро - http://www.zemana.com/ .COMODO Firewall е доста добра стена,но за по-напреднали.Плащанията да се извършват само чрез сигурно чиста от бацили машина.

[Night_Raven]

Благодаря на отзовалите се.Искам да попитам само едно последно нещо.Malwarebytes anti-malware справя ли се добре със keyloger-и единствено това ме притеснява..........заради акаунти за разплащане.........или препоръчайте някоя добра.......Но доколкото рабрах от статията на Night_Raven......CIS и дори ComodoFirewall би трябвало да се справя прилично със такъв вид заплаха........

Malwarebytes Anti-Malware И Comodo Firewall са две напълно различни като предназначение приложения. Аз не знам теб какво те интересува.

[Vasko12]

Инсталирах Zemana и след пускане на firefox програмата каза,че браузарът записва клавишните или нещо подобно.........Това нормално ли е?