Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Не могу удалит потенциально опасное ПО Invader

ArchiMAX

Автор ArchiMAX
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ArchiMAX Постоялец

ArchiMAX

Опубликовано
Опубликовано (изменено)

Внедряемый процесс:

C:\WINDOWS\system32\winlogon.exe

ID процесса (PID): 788

 

Попытка внедрения в процесс:

C:\WINDOWS\system32\svchost.exe

ID процесса (PID): 1044

 

обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\system32\winlogon.exe

 

При каждом запуске Windows.Невозможна Завершит и Запретит.Только Пропустит.

Сообщение от модератора Kapral
Удалил карантин

virusinfo_syscheck.zip

virusinfo_syscure.zip

post-6306-1221807185_thumb.jpg

Изменено пользователем Kapral
Ссылка на комментарий
Поделиться на другие сайты
Олег777 Гигант мысли

Олег777

Опубликовано
Опубликовано

Обновлены ли у Вас базы антивируса?

вариантов 2: или у Вас это нормальные родные системные процессы, или это маскирующиеся под них вирусы ( с такой ситуацией я недавно сталкивался).

Обновите базы и проведите полную проверку компьютера. Если вирусов не будет обнаружено, то добавьте эти процессы в доверенную зону.

Результат напишите. Жду.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A30A9115-7DF6-4BCD-9F60-034FBCF1325E}');
DelBHO('{2089BAAB-2BCD-4558-83C8-09A6DE9AC110}');
QuarantineFile('C:\WINDOWS\system32\Px.ax','');
QuarantineFile('C:\WINDOWS\system32\khfCstSM.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJDUOeB.dll','');
DeleteFile('C:\WINDOWS\system32\Px.ax');
DeleteFile('C:\WINDOWS\system32\ljJDUOeB.dll');
DeleteFile('C:\WINDOWS\system32\khfCstSM.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
ArchiMAX Постоялец

ArchiMAX

Опубликовано
  • Автор
Опубликовано

Я обновил его сегодня и провел полную проверку.Нашел 25 вредоносных програм.Trojan,Backdoor и другие.Но немогу обезвредит ПО Invaider сидящий на winlogon.ехе

Это уведомление появляется только при запуске.

Ссылка на комментарий
Поделиться на другие сайты
Олег777 Гигант мысли

Олег777

Опубликовано
Опубликовано

Так... тогда, пожалуй, попробуйте выполнить проверку из Безопасного режима.

Идея в том, что проактивка просто контролирует активность процессов и предупреждает о возникшем подозрении, что какая-то программа или процесс ведут себя "неправильно". В Вашем случае, это подпрограмма входа в Виндовс.

Процесс показался подозрительным, так как, в теории, родные процессы Винды всегда доверенные

Не скромный вопрос: у Вас Винда лицензионная?

Такое может быть, если у Вас "крякнутая" Винда, где в целях обмана проверки подлинности используется подложный вход в систему.

Ссылка на комментарий
Поделиться на другие сайты
ArchiMAX Постоялец

ArchiMAX

Опубликовано
  • Автор
Опубликовано (изменено)

Вот новые логи после выполнение скриптов.

 

Сообщение от модератора Falcon
Карантин удалил.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Олег777 Гигант мысли

Олег777

Опубликовано
Опубликовано

Пожалуйста, пришлите для анализа скриншет запущенных на компьютере процессов из Диспетчера Задач.

Ссылка на комментарий
Поделиться на другие сайты
Олег777 Гигант мысли

Олег777

Опубликовано
Опубликовано

Ничего страшного в процессах не увидел. если у вас честная лицензионная Винда, то Вы можете добавить эти процессы в доверенную зону.

но перед этим не поленитесь все-таки выполнить полную проверку компьютера - пара процессов все-таки у вас из зоны риска... :beby:

Ссылка на комментарий
Поделиться на другие сайты
Гриша Продвинутый

Гриша

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{2AC745D5-25F1-46C4-8D3C-9BFD43B87386}');
QuarantineFile('C:\WINDOWS\system32\CodecBHO.dll','');
DeleteFile('C:\WINDOWS\system32\CodecBHO.dll');
BC_ImportALL;	
ExecuteSysClean;
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');	
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

 

P.S. Invader-это вердикт проактивной защиты,который говорит нам о внедрении одного процесса в другой или какая-то dll внедряется в адресное пространтсво чужого процесса,это не обязательно плохо :beby:

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

ArchiMAX

На будущее - файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.

Ссылка на комментарий
Поделиться на другие сайты
ArchiMAX Постоялец

ArchiMAX

Опубликовано
  • Автор
Опубликовано
На будущее - файл cure.zip цеплять не нужно, ибо это есть ни что иное, как карантин, полученный в результате работы AVZ, который может содержать вредоносные файлы.

 

OK.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alksmn
      Не могу удалить not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen
      Автор alksmn
      CollectionLog-2025.07.09-07.42.zip
      Здравствуйте! 
      Антивирус находит и удаляет, но при запуске хрома, опять вылетает
      Событие: Объект удален
      Пользователь: MAG\lksmn
      Тип пользователя: Инициатор
      Имя приложения: chrome.exe
      Путь к приложению: C:\Program Files\Google\Chrome\Application
      Компонент: Файловый Антивирус
      Описание результата: Удалено
      Тип: Рекламное приложение
      Название: not-a-virus:HEUR:AdWare.JS.ExtRedirect.gen
      Точность: Частично
      Степень угрозы: Средняя
      Тип объекта: Файл
      Имя объекта: bundle.js
      Путь к объекту: C:\Users\lksmn\AppData\Local\Google\Chrome\User Data\Default\Extensions\adlpodnneegcnbophopdmhedicjbcgco\3.5.5_0\caa
      MD5 объекта: 81870BBC34F5D9A911DC2B0B03B7876A
    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • Vasikir
      Не могу открыть regedit (0xc0000017)
      Автор Vasikir
      Не уверен насчёт причины. Также были взломаны аккаунты telegram, discord, steam, google
      CollectionLog-2025.07.05-15.14.zip
    • Zed
      не могу удалить вирусы
      Автор Zed
      здравствуйте, уже 2 день не могу удалить, после перезагрузки ноута они опять появляются, пробовал все, бесполезно, помогите плиз!!!!!!!!
×
×
  • Создать...