Подозрение на взлом антивируса и системы

**Foxtrot1** · 29.11.2022, 13:08

Добрый день! Некоторое время назад обнаружил, что антивирус (касперский)заканчивает работу через некоторое время после запуска задачи. Также не может найти источник обновления, при этом внешне вроде как работает. В отчёте некоторые программы добавлены в группу доверенных. После сканирования avz в логе обнаружена запись- обнаружен вызов интерпретатора командной строки. Прошу помочь, что можно сделать?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 29.11.2022, 13:11

Уважаемый(ая) Foxtrot1, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 29.11.2022, 16:05

Сообщение от Foxtrot1

Прошу помочь, что можно сделать?

Для начала - логи по правилам.

**Foxtrot1** · 29.11.2022, 17:32

Надеюсь сделал все правильно, лог прикрепил к этому сообщению.

**Vvvyg** · 29.11.2022, 18:11

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [spdetector3] = C:\Program Files (x86)\Spyware Process Detector\spd324.exe TRAY (file missing)
O23 - Service S2: DCIService - C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIGABYTE\@BIOS\@Bios.lnk"         (содержит только знаки NUL)
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\SetupRST_ModeSwitch.lnk"          -> ["C:\Users\everl\Downloads\mb_driver_586_irst_17.9.0.1007\pack\SetupRST.exe"  =>> -RaidSwitchResult 0 C:\Users\everl\AppData\Local\Temp\eutty3as.qg4.7601a50d]

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

**Foxtrot1** · 30.11.2022, 13:45

Если не ошибаюсь, то вроде получилось сделать, файлы прикрепил.

**Vvvyg** · 30.11.2022, 14:02

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Foxtrot1** · 30.11.2022, 14:17

Запустить программу сначала не удалось, при запуске появлялось меню - заголовок: Система Windows защитила ваш компьютер. После разблокировки через свойства программа запустилась.

**Vvvyg** · 30.11.2022, 20:56

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3028242836-2913125226-3756515407-1001\...\MountPoints2: {1e08a553-1161-11ec-966b-806e6f6e6963} - "J:\Run.exe" 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
U1 aswbdisk; отсутствует ImagePath
FirewallRules: [{ADC46CF3-45D2-4C03-A7AF-C354B3F86494}] => (Allow) C:\Users\everl\AppData\Local\MiPhoneManager\main\MiPhoneManager.exe => Нет файла
FirewallRules: [{D957D617-B8AA-41B2-A292-89FF78A6D963}] => (Allow) C:\Users\everl\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{124CDA8A-9103-4003-9B83-795B24A657B9}] => (Allow) C:\Users\everl\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
File: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\x64\antimalware_provider.dll
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Foxtrot1** · 01.12.2022, 05:36

Скопировал в буфер, запустил одну из версий FRST (насколько понял нужна либо одна, либо другая), компьютер перезагружался после появления меню с предупреждением о перезагрузке.

**Vvvyg** · 01.12.2022, 07:22

Что с Kaspersky Internet Security? Если лучше не стало, пробуйте переустановить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**Foxtrot1** · 01.12.2022, 07:25

На первый взгляд Касперский работает, обновляется. FRST64 нужно запускать снова с обязательным переименованием, правильно? После завершения работы лог нужен ?

**Vvvyg** · 01.12.2022, 09:29

Сообщение от Foxtrot1

FRST64 нужно запускать снова с обязательным переименованием, правильно?

Да, программа удалит себя, свои карантины и бэкапы, чтобы не занимали место.

Сообщение от Foxtrot1

После завершения работы лог нужен ?

Не нужен, сделайте такой.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Foxtrot1** · 01.12.2022, 11:23

Сделано, лог есть.

**Vvvyg** · 01.12.2022, 17:41

J2SE Runtime Environment 5.0 Update 5 v.1.5.0.50 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u351-windows-i586.exe - Windows Offline).

Очень древняя версия со множеством уязвимостей, просто удалите, если не нужна.

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Zoom v.5.8.3 (1581) Внимание! Скачать обновления

Это рекомендуется обновить.

Malwarebytes version 4.4.6.132 v.4.4.6.132 Внимание! Скачать обновления

Обновите, хотя можно и удалить, при работающем KIS - лишнее. Как и UnHackMe, программа требует навыков в использовании и обычному пользователь с ней может не вируcs удалить, а систему попортить, бывали случаи в практике.

- - - - -Добавлено - - - - -

Да, и Kaspersky Secure Connection, который устанавливается довеском к KIS, удалите, пишут, что с 15 ноября уже недоступен.

**Foxtrot1** · 02.12.2022, 07:11

Понял, спасибо Вам огромное за ваш труд! Какие-то действия еще нужно предпринимать?

**Vvvyg** · 02.12.2022, 09:23

Кроме уже рекомендованных - нет.

Подозрение на взлом антивируса и системы (заявка № 227905)

Опции темы