Помогите пожалуйста.
Прогонял КАV 7.0, Symantec, Ad-aware, CureIt, AVZ, HighJack - НЕ удаляется.
Разные AV находят разные угрозы, в основном: Warezov.sz (и другие .*) Win32.HLLM.Limar
Ad-aware постоянно блокирует попытку regsjava.dll поменять что то в registry.
KAV тоже ругается на него, но удалить/вылечить его не может.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Странно, ведь файла этого по-видимому уже нет.
Что говорят KAV и AdAware? Кстати их отключать надо было при выполнении скрипта.
Попробуйте выполнить совет rubin'a в безопасном режиме, и снова лог HijackThis.
Перед тем как перегрузиться и сделать все тоже самое в безопасном режиме
KAV нашел и удалил: Heur.Trojan.Generic c:\windows\system32\perfinse.exe
Потом я в безопасном режиме я повторил совет rubin'a.
В когда загрузился в нормальный режим Аd-aware опять выдал сообщение: Warning
An atempt to alter protected object has been detected/
Root: HKLM
Value: Applinit_DLLs
Data: regsjava.dll
New Data:
KAV пока молчит.
PS: все операции я проводил в соответсвии с правилами, т.е. с выключенными всеми программами включая Ad-aware и KAV.
Я понял - это AdAware не позволяет нам изменить ключ Appinit_DLLs и водворяет на место эту ссылку! А файл regsjava.dll на самом деле был удален еще первым скриптом.
Извиняюсь, но я рано обрадовался.
После всего я закачал все обновления для windows (раньше изза ошибки не загружались).
Проверил все еще раз KAV, symantec, и prevxcsifree.exe - никто ничего не нашел - снес их.
Зашел под другим пользователем - без администраторских привилегий (обычный пользователь), вдруг в сетевом окружении обнаружилось какое то устройство "DSC-3230G-228" c таким описанием "802.11.g Wireless 2-way Audio Internet Camera"
с таким адресом: "http://192.168.66.228".
После того как я по этому устройству в трее кликнул, Ad-aware тут же выдал сообщение: Warning
An atempt to alter protected object has been detected/
Root: HKLM
Value: Applinit_DLLs
Data: regsjava.dll kbdgmqqm.dll
New Data: regsjava.dll
После чего нажатие "Block" ни к чему не приводило - сообщение не пропадало. Компьютер можно было выключить только долгим удержанием кнопки "Power".
Сейчас опять зашел под пользователем с административными правами, делаю логи по правилам.
Прилагаю их к сообщению.
Посмотрите что там за зараза такая
мне почему то кажется что какой то левый процесс висит wmpnetwk.exe
пофиксил, перегрузился - строчки нет.
Но.
1. Подозрительное сетевое устройство "DSC-3230G-228" не пропало.
Если его вызвать , открывается IE c формой base-auth авторизации "для входа на сервер".
2. КАV постоянно блокирует попытки процессов с разным PID получить доступ к процессу Антивирус Касперского. Пишет что это срабатывает самозащита. При этом он ничего не находит.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: