Перейти к содержанию
Авторизация  
lawyer

Security system has detected spyware infection

Рекомендуемые сообщения

Описание:

Постоянно в нижнем левом углу экрана висит "предупреждение".

При нажатии на него открывается некий сайт, где начинает что-то грузить и проверять. Опыт подсказывает что лучше окончания подобных "тестирований" не дожидаться, поэтому что происходит дальше рассказать не могу

Также иногда браузер открывается сам, появляется диалоговое окно, предлагающее просканировать windows антивирусами.

 

Что уже сделал:

1) В гугле поискал, но способов лечения не нашел.

2) Проверял НОДом - ничего не нашел.

 

Скриншоты:

post-8159-1233331246_thumb.jpg

post-8159-1233331276_thumb.jpg

 

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

p.s на подобные форумы обращаюсь в первый раз. Если что-то не так, пожалуйста, не ругайтесь))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добро пожаловать на форум!

 

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\docume~1\home\locals~1\temp\a.exe');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\b.exe ');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpa.exe ');
TerminateProcessByName('c:\docume~1\home\locals~1\temp\~tmpc.exe ');
QuarantineFile('C:\WINDOWS\system32\drivers\CDAC15BA.SYS','');
DeleteFile('c:\docume~1\home\locals~1\temp\a.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\b.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\~tmpa.exe');
DeleteFile('c:\docume~1\home\locals~1\temp\~tmpc.exe');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем выполните следующий скрипт.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите в теме.

 

Пофиксить в HJT:

O2 - BHO: TBSB03223 - {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} - D:\Program Files\WebMoney Advisor\wmadvisor.dll
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe

Повторите логи.

Изменено пользователем Falcon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Большое спасибо. Окна уже не появляются.

 

Сделал все, кроме:

O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\Home\LOCALS~1\Temp\~tmpa.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Home\LOCALS~1\Temp\a.exe

Такие строки просто отсутствовали.

 

Свежие логи:

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пофиксите:

O3 - Toolbar: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)

Повторите лог HijackThis.

 

Проблемы больше не появляются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...