Перейти к содержанию
Правила раздела

Security system has detected spyware infection. Что делать?

oz_odessa

Автор oz_odessa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

oz_odessa Новичок

oz_odessa

Опубликовано
Опубликовано (изменено)

"security System Has detected spyware infection" что делать ?

 

Постоянна выскакивает сообщение в правом углу экрана сообщение об инфекции в системе

после ее нажатия открывается браузер и предлагает проверить свой компьютер онлайн на вирусы, после чего предлагает

скачать программу :o

 

и так бесконечно , антивирусы NOD32 и avz4 при проверке ничего не обнаружили...

Помогите справиться с этом вирусом.

 

Скриншоты и логи прилагаются

post-7896-1232357333_thumb.jpg

post-7896-1232357348_thumb.jpg

post-7896-1232357365_thumb.jpg

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

post-7896-1232358411_thumb.jpg

Изменено пользователем oz_odessa
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\SERVER\starter.bat','');
QuarantineFile('C:\WINDOWS\system32\rserver30\newtstop.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\fixustor.sys','');
QuarantineFile('C:\WINDOWS\ATKKBService.exe','');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\system32\msxml71.dll','');
QuarantineFile('C:\WINDOWS\system32\DO2rhEt0.exe','');
QuarantineFile('c:\docume~1\gena\locals~1\temp\~tmpd.exe','');
QuarantineFile('c:\docume~1\gena\locals~1\temp\~tmpa.exe','');
QuarantineFile('d:\server\rkserver.exe','');
QuarantineFile('d:\server\strserv.exe','');
QuarantineFile('c:\windows\system32\do2rhet0.exe','');
QuarantineFile('c:\docume~1\gena\locals~1\temp\a.exe','');
DeleteFile('c:\docume~1\gena\locals~1\temp\a.exe');
DeleteFile('c:\windows\system32\do2rhet0.exe');
DeleteFile('c:\docume~1\gena\locals~1\temp\~tmpa.exe');
DeleteFile('c:\docume~1\gena\locals~1\temp\~tmpd.exe');
DeleteFile('C:\WINDOWS\system32\DO2rhEt0.exe');
DeleteFile('C:\WINDOWS\system32\msxml71.dll');
DeleteFile('C:\DOCUME~1\Gena\LOCALS~1\Temp\a.exe');
DeleteFile('C:\DOCUME~1\Gena\LOCALS~1\Temp\~tmpa.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}');
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте наnewvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe');
DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe');
DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

Пофиксить в HijackThis следующие строчки

 R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Потом еще раз повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

Очистите задания планировщика задач.

 

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix:

  • Скачайте установочный файл для своей ОС и сохраните на рабочий стол.
    Windows XP Professional с пакетом обновления 2 (SP2)
    Windows XP Home Edition с пакетом обновления 2 (SP2)
     
    Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2
     
    Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы.
     
     
  • Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.

2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

P>S> не шлите логи по почте....я их все не смотрю....я смотрю карантин (если его запросил) :o

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
  • 8 месяцев спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • Тагил
      Опять NT Kernel & System
      Автор Тагил
      Лет за 15 такого процесса у себя никогда не видел.. Подхватил либо с uTorrent, либо с ru-board со старых тем про Opera. Советы из Гугла не помогают, Dr web не видит, AVZ не видит, ESET изнасилован во всех позах. Не даёт ставить драйвера и обновления Win7, лезет в настройки Brave. В Hosts блокировки рекламы и слежки, ничего лишнего там нет.


      CollectionLog-2025.03.21-11.53.zip
    • KL FC Bot
      Самая большая утечка данных в мире. Что делать пользователям? | Блог Касперского
      Автор KL FC Bot
      Вы, скорее всего, уже видели свежие новости с заголовками «Самая масштабная утечка в истории человечества». Весь мир переполошился из-за журналистов Cybernews, которые обнаружили в свободном доступе логины и пароли к 16 млрд учетных записей — по две на каждого жителя Земли. Что это за утечка и что нужно сделать прямо сейчас?
      Что за утечка? Там есть мои данные?
      В оригинальном исследовании сказано, что команда Cybernews занималась этой историей с начала года. За шесть месяцев удалось собрать 30 незащищенных наборов данных, которые суммарно и превращаются в 16 млрд паролей. Самый большой набор данных, 3,5 млрд записей, связан с португалоговорящим населением планеты; еще 455 млн записей имеют отношение к России, а 60 млн — «скорее всего», к Telegram.
      База данных построена по такому принципу: URL сайта, логин и пароль. Все, ничего лишнего. При этом сказано, что слиты были данные пользователей всех гигантских сервисов: Apple, Google, Facebook*, Telegram, GitHub и т. д. Удивительно, что в руках журналистов оказались именно пароли, а не хеши. В нашем исследовании Как хакеры могут взломать пароль за час мы подробно останавливались на том, как именно компании хранят пароли. Спойлер: почти всегда в закрытом виде с использованием алгоритмов хеширования.
      Особое внимание в этой истории уделено свежести данных: журналисты утверждают, что в 16 млрд не входят самые крупные утечки, про которые мы писали в блоге Kaspersky Daily. За кадром остаются важные вопросы: «откуда появились 16 млрд свежеутекших паролей и почему, кроме Cybernews, их никто не видел?». К большому сожалению, журналисты не предоставили ни одного доказательства реального существования этой базы. Поэтому ни экспертам «Лаборатории Касперского», ни любым другим не удалось проанализировать эту утечку. А значит, и утверждать, есть ли там именно ваши данные, да и вообще чьи-либо, — мы не можем.
      По словам Cybernews, весь сбор базы данных был возможен в результате работы стилеров. Это и в самом деле набирающая силы угроза. По нашим данным, количество обнаруженных по всему миру атак, связанных с кражей паролей, выросло с 2023 по 2024 год на 21%. Злоумышленники нацелены как на частных, так и на корпоративных пользователей.
       
      View the full article
    • Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP
      Автор Slimens
      ЧП зашифровало сервера может кто подскажет что делать формат файлов JWEYZP есть расшифратор от этого или нет?
    • Sergsob98
      Kaspersky Security Center web как запустить Wake on lan
      Автор Sergsob98
      Доброго времени суток!
      У меня установлен сервер администрирования Kaspersky Security Center 15.2 на Linux, доступ к нему осуществляется через веб-интерфейс. Подскажите, где найти функцию Wake on LAN, чтобы можно было удалённо включать компьютеры? 
       
      Сообщение от модератора thyrex Перенесено из технического раздела
×
×
  • Создать...