-
Junior Member
- Вес репутации
- 59
зачистка хвостов после блокера
Уважаемые!
Посмотрите логи, пожалуйста.
порноблокер с номером 5121 разблокировать удалось с помощью кодов с сайта Касперского.
Компьютер не мой, молодой девушки, не ругайтесь за беспорядок, и включенное восстановление системы.
Беспокоят три строчки в логе hijackhis
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
Строку
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe srnh.lto iqfnr
я уже пофиксила, эта дрянь выскакивала при загрузке, сейчас всё в порядке.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\HFYFbO7.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\HFYFbO7.exe');
DeleteFile('c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system.exe');
QuarantineFile('\\?\globalroot\systemroot\system32\LDHhbu0.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\LDHhbu0.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131} ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
ExecuteRepair(20);
ExecuteRepair(13);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 59
При запуске скрипта AVZ завис. Перезагружалась вручную.
Карантин выслала.
Новые логи:
-
Плохого не увидел
Установите SP3 (может потребоваться активация) + все новые патчи
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\hfyfbo7.exe - Trojan-Spy.Win32.Shiz.ce ( DrWEB: Trojan.Packed.20375, BitDefender: Trojan.Generic.4120052, NOD32: Win32/Spy.Shiz.NBD trojan, AVAST4: Win32:Spyware-gen [Spy] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
-