Security system has detected spyware infection

[lawyer]

Описание:

Постоянно в нижнем левом углу экрана висит "предупреждение".

При нажатии на него открывается некий сайт, где начинает что-то грузить и проверять. Опыт подсказывает что лучше окончания подобных "тестирований" не дожидаться, поэтому что происходит дальше рассказать не могу

Также иногда браузер открывается сам, появляется диалоговое окно, предлагающее просканировать windows антивирусами.

 

Что уже сделал:

1) В гугле поискал, но способов лечения не нашел.

2) Проверял НОДом - ничего не нашел.

 

Скриншоты:

 

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

p.s на подобные форумы обращаюсь в первый раз. Если что-то не так, пожалуйста, не ругайтесь))

[Falcon]

Добро пожаловать на форум!

 

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\home\locals~1\temp\a.exe');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\b.exe ');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpa.exe ');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpc.exe ');
QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS','');
DeleteFile('c:\docume~1\home\locals~1\temp\a.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\b.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\~tmpa.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\~tmpc.exe');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем выполните следующий скрипт.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите в теме.

 

Пофиксить в HJT:

O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe

Повторите логи.

Изменено 30 января, 2009 пользователем Falcon

[lawyer]

Большое спасибо. Окна уже не появляются.

 

Сделал все, кроме:

O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe

Такие строки просто отсутствовали.

 

Свежие логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Falcon]

Пофиксите:

O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)

Повторите лог HijackThis.

 

Проблемы больше не появляются?

[lawyer]

Проблемы больше не появляются?

Нет. Еще раз большое спасибо.

Лог:

hijackthis.log

[Falcon]

Все чисто, зараза уничтожена.