Перейти к содержанию
Правила раздела

Security system has detected spyware infection

lawyer

От lawyer
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

lawyer Новичок

lawyer

Опубликовано
Опубликовано

Описание:

Постоянно в нижнем левом углу экрана висит "предупреждение".

При нажатии на него открывается некий сайт, где начинает что-то грузить и проверять. Опыт подсказывает что лучше окончания подобных "тестирований" не дожидаться, поэтому что происходит дальше рассказать не могу

Также иногда браузер открывается сам, появляется диалоговое окно, предлагающее просканировать windows антивирусами.

 

Что уже сделал:

1) В гугле поискал, но способов лечения не нашел.

2) Проверял НОДом - ничего не нашел.

 

Скриншоты:

post-8159-1233331246_thumb.jpg

post-8159-1233331276_thumb.jpg

 

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

p.s на подобные форумы обращаюсь в первый раз. Если что-то не так, пожалуйста, не ругайтесь))

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Добро пожаловать на форум!

 

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\home\locals~1\temp\a.exe');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\b.exe ');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpa.exe ');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpc.exe ');
QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS','');
DeleteFile('c:\docume~1\home\locals~1\temp\a.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\b.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\~tmpa.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\~tmpc.exe');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем выполните следующий скрипт.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите в теме.

 

Пофиксить в HJT:

O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe

Повторите логи.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
lawyer Новичок

lawyer

Опубликовано
  • Автор
Опубликовано

Большое спасибо. Окна уже не появляются.

 

Сделал все, кроме:

O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe

Такие строки просто отсутствовали.

 

Свежие логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Пофиксите:

O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)

Повторите лог HijackThis.

 

Проблемы больше не появляются?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Friend
      Chatbox has been disconnected
      От Friend
      После недавнего обновления форума некорректно работает чат: https://forum.kasperskyclub.ru/bimchatbox/  в Firefox  132.0.2 x64

      Прошу исправить.
    • Sergey114546456
      HEUR:Trojan.Multi.GenBadur.gena в System Memory
      От Sergey114546456
      Здравствуйте! Каспер нашел вирус HEUR:Trojan.Multi.GenBadur.gena в системной памяти, что это за вирус вообще такой и что он может сделать в системе?
       
       
    • Sandynist
      Android System SafetyCore — новый уровень безопасности вашего смартфона на Андроид!
      От Sandynist
      Добрый день!
       
      Скачал и установил себе на смартфон это приложение — Android System SafetyCore
      Оно не пришло мне на смартфон с очередными обновлениями. Вот теперь сижу и жду когда повысится уровень безопасности моего смартфона. Но приложение молчит и вообще ничего не сообщает о моей системе, или у меня всё так идеально? 😅
       
      Ссылка на приложение в Гугл Плей: https://play.google.com/store/apps/details?id=com.google.android.safetycore&hl=ru&pli=1
       
      Поделитесь информацией, как у вас прошла установка? Что изменилось в работе системы?
    • Quester1337
      [РЕШЕНО] Dr.Web Cureit нашёл net:malware.url под названием System Idle Process.
      От Quester1337
    • npc_admin
      Перенос Kaspersky Security Center 11
      От npc_admin
      Здравствуйте.
      Прошу совета в сложившийся ситуации. Есть задача перенести KSC на новый сервер. KSC версии 11.0.0.1131. На новом сервере, естественно, нужно ставить последнюю, актуальную версию Центра. Затем туда накатывать резервную выгрузку из старого Центра. Но! Для того, чтобы это получилось, нужно старый Центр версии 11 обновить до актуальной, а прежде чем обновляться, нужно сделать бэкап. Так вот проблема заключается в том, что пароль от базы данных KAV утерен и восстановить его не получается. Пытался сбросить пароль в SQLEXPRESS разными способами – не удалось. Вопрос, какое решение видится в этой ситуации?  На данный момент, мое видение – ставить последнюю версию Центра на новом сервере, делать настройки с чистого листа, потом подтягивать клиентов  (порядка 25 машин в офисе).
×
×
  • Создать...