-
Junior Member
- Вес репутации
- 53
Подозрительный файл в памяти, не открываются некоторые сайты.
AVZ при сканировании обнаруживает подозрительный файл в windows/system32/, название которого всякий раз разное.
Скачать CureIt! с моего компьютера не удаётся, потому что невозможно зайти на www.freedrweb.com (к нему даже пинга нет).
Некоторые другие сайты, например www.ebay.com, www.imdb.com, блоги на www.livejournal.com открываются очень медленно и с потерей форматирования. (До этого подобное было и на нескольких форумах, когда слетели cookies и невозможно было залогиниться).
От белого порноинформера, пойманного 18 мая успешно (надеюсь) вылечился, скачав с другого компа CureIt! и запустив ERD, но странный файл по прежнему под подозрением у AVZ, а www.freedrweb.com по прежнему недоступен…
Логи во вложении.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HiJack
Код:
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pq.dll','');
DeleteFile('C:\WINDOWS\system32\pq.dll');
QuarantineFile('C:\WINDOWS\System32\netprotocol.exe','');
DeleteFile('C:\WINDOWS\System32\netprotocol.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','Netprotocol');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(12);
ExecuteREpair(20);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + лог http://virusinfo.info/showpost.php?p=493610&postcount=1
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Большое спасибо за помощь!
Рекомендации выполнил, логи приложил.
-
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Пуск - Выполнить - regedit
Зайдите в ветку
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
в правой части найдите параметр DcomLaunch и из его значений удалите Netprotocol
Пофиксите в hiJack
Код:
O4 - HKLM\..\Run: [0] C:\0.bat
O20 - AppInit_DLLs: C:\WINDOWS\system32\pq.dll
Удалите ComboFix
Сделайте новый лог HiJack
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Спасибо, всё уже заработало!
Файл из дистрибутива восстановил.
Файлов 0.bat pq.dll нет.
Лог приложил.
-
Junior Member
- Вес репутации
- 53
Большое спасибо!
P.S. Единственный минус: команда «ComboFix/ u» не вернула некоторые настройки реестра (если, конечно, это предполагалось). Но всё равно спасибо! 
-
Порядок.
Установите Internet Explorer 8 (даже если им не пользуетесь)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-
