Показано с 1 по 17 из 17.

Подозрение на взлом антивируса и системы (заявка № 227905)

  1. #1
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10

    Подозрение на взлом антивируса и системы

    Добрый день! Некоторое время назад обнаружил, что антивирус (касперский)заканчивает работу через некоторое время после запуска задачи. Также не может найти источник обновления, при этом внешне вроде как работает. В отчёте некоторые программы добавлены в группу доверенных. После сканирования avz в логе обнаружена запись- обнаружен вызов интерпретатора командной строки. Прошу помочь, что можно сделать?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    372
    Уважаемый(ая) Foxtrot1, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Цитата Сообщение от Foxtrot1 Посмотреть сообщение
    Прошу помочь, что можно сделать?
    Для начала - логи по правилам.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    Надеюсь сделал все правильно, лог прикрепил к этому сообщению.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O4 - HKCU\..\Run: [spdetector3] = C:\Program Files (x86)\Spyware Process Detector\spd324.exe TRAY (file missing)
    O23 - Service S2: DCIService - C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe (file missing)
    Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
    Код:
    - "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIGABYTE\@BIOS\@Bios.lnk"         (содержит только знаки NUL)
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\SetupRST_ModeSwitch.lnk"          -> ["C:\Users\everl\Downloads\mb_driver_586_irst_17.9.0.1007\pack\SetupRST.exe"  =>> -RaidSwitchResult 0 C:\Users\everl\AppData\Local\Temp\eutty3as.qg4.7601a50d]
    Отчёт о работе прикрепите.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    Если не ошибаюсь, то вроде получилось сделать, файлы прикрепил.
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    Запустить программу сначала не удалось, при запуске появлялось меню - заголовок: Система Windows защитила ваш компьютер. После разблокировки через свойства программа запустилась.
    Вложения Вложения
    Последний раз редактировалось Foxtrot1; 30.11.2022 в 14:43.

  12. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3028242836-2913125226-3756515407-1001\...\MountPoints2: {1e08a553-1161-11ec-966b-806e6f6e6963} - "J:\Run.exe" 
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
    FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
    U1 aswbdisk; отсутствует ImagePath
    FirewallRules: [{ADC46CF3-45D2-4C03-A7AF-C354B3F86494}] => (Allow) C:\Users\everl\AppData\Local\MiPhoneManager\main\MiPhoneManager.exe => Нет файла
    FirewallRules: [{D957D617-B8AA-41B2-A292-89FF78A6D963}] => (Allow) C:\Users\everl\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [{124CDA8A-9103-4003-9B83-795B24A657B9}] => (Allow) C:\Users\everl\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    File: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\x64\antimalware_provider.dll
    StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q C:\Windows\Temp\*.*
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    ipconfig /flushdns
    sfc /scannow
    endbatch:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  13. Это понравилось:


  14. #10
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    Скопировал в буфер, запустил одну из версий FRST (насколько понял нужна либо одна, либо другая), компьютер перезагружался после появления меню с предупреждением о перезагрузке.
    Вложения Вложения

  15. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Что с Kaspersky Internet Security? Если лучше не стало, пробуйте переустановить.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

  16. Это понравилось:


  17. #12
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    На первый взгляд Касперский работает, обновляется. FRST64 нужно запускать снова с обязательным переименованием, правильно? После завершения работы лог нужен ?

  18. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Цитата Сообщение от Foxtrot1 Посмотреть сообщение
    FRST64 нужно запускать снова с обязательным переименованием, правильно?
    Да, программа удалит себя, свои карантины и бэкапы, чтобы не занимали место.

    Цитата Сообщение от Foxtrot1 Посмотреть сообщение
    После завершения работы лог нужен ?
    Не нужен, сделайте такой.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  19. #14
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    Сделано, лог есть.
    Вложения Вложения

  20. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    J2SE Runtime Environment 5.0 Update 5 v.1.5.0.50 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u351-windows-i586.exe - Windows Offline).
    Очень древняя версия со множеством уязвимостей, просто удалите, если не нужна.

    Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
    ^Удалите старую версию, скачайте и установите новую.^
    Zoom v.5.8.3 (1581) Внимание! Скачать обновления
    Это рекомендуется обновить.

    Malwarebytes version 4.4.6.132 v.4.4.6.132 Внимание! Скачать обновления
    Обновите, хотя можно и удалить, при работающем KIS - лишнее. Как и UnHackMe, программа требует навыков в использовании и обычному пользователь с ней может не вируcs удалить, а систему попортить, бывали случаи в практике.

    - - - - -Добавлено - - - - -

    Да, и Kaspersky Secure Connection, который устанавливается довеском к KIS, удалите, пишут, что с 15 ноября уже недоступен.
    WBR,
    Vadim

  21. Это понравилось:


  22. #16
    Junior Member Репутация
    Регистрация
    31.05.2020
    Сообщений
    15
    Вес репутации
    10
    Понял, спасибо Вам огромное за ваш труд! Какие-то действия еще нужно предпринимать?

  23. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Кроме уже рекомендованных - нет.
    WBR,
    Vadim

Похожие темы

  1. Тормозит ноутбук, возможно взлом системы
    От Drumer в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 04.01.2020, 19:16
  2. подозрение на rootkit и взлом
    От acid_kid в разделе Помогите!
    Ответов: 22
    Последнее сообщение: 12.01.2011, 20:38
  3. Ответов: 1
    Последнее сообщение: 07.01.2011, 07:04
  4. Ответов: 6
    Последнее сообщение: 04.09.2010, 12:59
  5. Ответов: 1
    Последнее сообщение: 24.05.2010, 22:10

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01198 seconds with 18 queries