Security system has detected spyware infection. Что делать?

[oz_odessa]

"security System Has detected spyware infection" что делать ?

 

Постоянна выскакивает сообщение в правом углу экрана сообщение об инфекции в системе

после ее нажатия открывается браузер и предлагает проверить свой компьютер онлайн на вирусы, после чего предлагает

скачать программу

 

и так бесконечно , антивирусы NOD32 и avz4 при проверке ничего не обнаружили...

Помогите справиться с этом вирусом.

 

Скриншоты и логи прилагаются

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 19 января, 2009 пользователем oz_odessa

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\SERVER\starter.bat','');
QuarantineFile('C:\WINDOWS\system32\rserver30\newtstop.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\fixustor.sys','');
QuarantineFile('C:\WINDOWS\ATKKBService.exe','');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\DO2rhEt0.exe','');
QuarantineFile('c:\docume~1\gena\locals~1\temp\~tmpd.exe','');
QuarantineFile('c:\docume~1\gena\locals~1\temp\~tmpa.exe','');
QuarantineFile('d:\server\rkserver.exe','');
QuarantineFile('d:\server\strserv.exe','');
QuarantineFile('c:\windows\system32\do2rhet0.exe','');
QuarantineFile('c:\docume~1\gena\locals~1\temp\a.exe','');
DeleteFile('c:\docume~1\gena\locals~1\temp\a.exe');
DeleteFile('c:\windows\system32\do2rhet0.exe');
DeleteFile('c:\docume~1\gena\locals~1\temp\~tmpa.exe');
DeleteFile('c:\docume~1\gena\locals~1\temp\~tmpd.exe');
DeleteFile('C:\WINDOWS\system32\DO2rhEt0.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\DOCUME~1\Gena\LOCALS~1\Temp\a.exe');
DeleteFile('C:\DOCUME~1\Gena\LOCALS~1\Temp\~tmpa.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте наnewvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Изменено 19 января, 2009 пользователем akoK

[oz_odessa]

После запуска скрипта проблема решилась

 

Логи прилагаются

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Пофиксить в HijackThis следующие строчки

 R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Потом еще раз повторите логи.

[oz_odessa]

Выполнил скрипты , пофиксел

 

Свежие логи

hijackthis.log

mbam_log_2009_01_19__13_25_57_.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

Очистите задания планировщика задач.

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

• Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
  Windows XP Professional с пакетом обновления 2 (SP2)
  Windows XP Home Edition с пакетом обновления 2 (SP2)
   
  Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
   
  Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
   
   
  
• Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
  

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

P>S> не шлите логи по почте....я их все не смотрю....я смотрю карантин (если его запросил)

Изменено 19 января, 2009 пользователем akoK

[allexis7]

Строгое предупреждение от модератора User

У нас бесплатная помощь!