oz_odessa 0 Опубликовано 19 января, 2009 Share Опубликовано 19 января, 2009 (изменено) "security System Has detected spyware infection" что делать ? Постоянна выскакивает сообщение в правом углу экрана сообщение об инфекции в системе после ее нажатия открывается браузер и предлагает проверить свой компьютер онлайн на вирусы, после чего предлагает скачать программу и так бесконечно , антивирусы NOD32 и avz4 при проверке ничего не обнаружили... Помогите справиться с этом вирусом. Скриншоты и логи прилагаются hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 19 января, 2009 пользователем oz_odessa Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 января, 2009 Share Опубликовано 19 января, 2009 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('D:\SERVER\starter.bat',''); QuarantineFile('C:\WINDOWS\system32\rserver30\newtstop.dll',''); QuarantineFile('C:\WINDOWS\system32\drivers\fixustor.sys',''); QuarantineFile('C:\WINDOWS\ATKKBService.exe',''); QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll',''); QuarantineFile('C:\WINDOWS\system32\msxml71.dll',''); QuarantineFile('C:\WINDOWS\system32\DO2rhEt0.exe',''); QuarantineFile('c:\docume~1\gena\locals~1\temp\~tmpd.exe',''); QuarantineFile('c:\docume~1\gena\locals~1\temp\~tmpa.exe',''); QuarantineFile('d:\server\rkserver.exe',''); QuarantineFile('d:\server\strserv.exe',''); QuarantineFile('c:\windows\system32\do2rhet0.exe',''); QuarantineFile('c:\docume~1\gena\locals~1\temp\a.exe',''); DeleteFile('c:\docume~1\gena\locals~1\temp\a.exe'); DeleteFile('c:\windows\system32\do2rhet0.exe'); DeleteFile('c:\docume~1\gena\locals~1\temp\~tmpa.exe'); DeleteFile('c:\docume~1\gena\locals~1\temp\~tmpd.exe'); DeleteFile('C:\WINDOWS\system32\DO2rhEt0.exe'); DeleteFile('C:\WINDOWS\system32\msxml71.dll'); DeleteFile('C:\DOCUME~1\Gena\LOCALS~1\Temp\a.exe'); DeleteFile('C:\DOCUME~1\Gena\LOCALS~1\Temp\~tmpa.exe'); DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe'); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'); DelBHO('{500BCA15-57A7-4eaf-8143-8C619470B13D}'); BC_ImportALL; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте наnewvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Изменено 19 января, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 19 января, 2009 Автор Share Опубликовано 19 января, 2009 После запуска скрипта проблема решилась Логи прилагаются virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 января, 2009 Share Опубликовано 19 января, 2009 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\Perfume.exe'); DeleteFile('C:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe'); DeleteFile('C:\RESTORE\c-1-3-64-8794238531-8742492-9897532\Sys32.exe'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Потом еще раз повторите логи. Цитата Ссылка на сообщение Поделиться на другие сайты
oz_odessa 0 Опубликовано 19 января, 2009 Автор Share Опубликовано 19 января, 2009 Выполнил скрипты , пофиксел Свежие логи hijackthis.log mbam_log_2009_01_19__13_25_57_.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 19 января, 2009 Share Опубликовано 19 января, 2009 (изменено) Очистите задания планировщика задач. Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Необходимо установить Recovery Console по инструкции - how-to-use-combofix: Скачайте установочный файл для своей ОС и сохраните на рабочий стол. Windows XP Professional с пакетом обновления 2 (SP2) Windows XP Home Edition с пакетом обновления 2 (SP2) Установочный файл Recovery Console для Windows XP SP3 идентичен Windows XP SP2 Если Вы используете Windows XP с пакетом обновления 1 (SP1) или Исходный выпуск Windows XP, то необходимо обязательно ознакомится со статьей Как получить установочные диски Windows XP и скачать установочный файл Recovery Console, который соответствует виду Вашей системы. Закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. 2. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 3. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска. P>S> не шлите логи по почте....я их все не смотрю....я смотрю карантин (если его запросил) Изменено 19 января, 2009 пользователем akoK Цитата Ссылка на сообщение Поделиться на другие сайты
allexis7 0 Опубликовано 16 октября, 2009 Share Опубликовано 16 октября, 2009 Строгое предупреждение от модератора User У нас бесплатная помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.