Junior Member
Вес репутации
50
Вирус переименовывает exe файлы.
Вирус переименовывает exe файлы на диске D:, добавляет в начало zw а сам подменяет оригинальный файл. Также создает ярлыки %windir%\system32\RunDll32.exe shell32.dll,ShellExec_RunDLL ".\*.exe". Еще создает на этом же диске папки типа антивирус.scr, не трогать!!!.scr и т.п. и файлы *.scr с именами папок. Avast находит и удаляет только следы деятельности exe файлы и папки. Что делать?
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
50
Junior Member
Вес репутации
50
- Сохраните текст ниже как 1.bat в ту же папку, где находится zw5wz4g3rj.exe (GMER) и запустите этот батник(1.bat):
Код:
zw5wz4g3rj.exe -del service bnckoxg
zw5wz4g3rj.exe -del service kvwuqx
zw5wz4g3rj.exe -del service ogftunnlb
zw5wz4g3rj.exe -del service qkfzfxhjr
zw5wz4g3rj.exe -del file "C:\WINDOWS\system32\xbcek.dll"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\bnckoxg"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\kvwuqx"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\bnckoxg"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\kvwuqx"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\bnckoxg"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qkfzfxhjr"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\ogftunnlb"
zw5wz4g3rj.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\qkfzfxhjr"
zw5wz4g3rj.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
Junior Member
Вес репутации
50
GMER несколько раз подвисал.
Junior Member
Вес репутации
50
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\AppID\AutocompletePro.DLL (Adware.PredictAd) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RkHit (Rogue.SpywareCease) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0fb6a909-6086-458f-bd92-1f8ee10042a0} (Adware.PredictAd) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers\c:\windows\cfdrive32.exe (Backdoor.Bot) -> No action taken.
Зараженные папки:
C:\Program Files\AutocompletePro (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\chrome (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome\content (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \defaults (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \defaults\preferences (Adware.PredictAd) -> No action taken.
Зараженные файлы:
C:\Program Files\AutocompletePro\FireFoxExtension.exe (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\InstTracker.exe (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\unins000.dat (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\unins000.exe (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\chrome\autocompleteprochrome.crx (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome.manifest (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \install.rdf (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome\content\browserOverlay.xul (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome\content\options.js (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome\content\options.xul (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \chrome\content\utils.js (Adware.PredictAd) -> No action taken.
C:\Program Files\AutocompletePro\[email protected] \defaults\preferences\predictad.js (Adware.PredictAd) -> No action taken.
- Повторите лог МВАМ
Junior Member
Вес репутации
50
Удалите в МВАМ -
Код:
Зараженные файлы:
C:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
- Больше плохого нет, что с проблемой?
Junior Member
Вес репутации
50
К сожалению не помогло. Так и плодятся zw*.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
50
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
Driver::
qkfzfxhjr
kvwuqx
bnckoxg
ogftunnlb
NetSvc::
qkfzfxhjr
kvwuqx
bnckoxg
ogftunnlb
FCopy::
c:\windows\ServicePackFiles\i386\regsvc.dll|c:\windows\System32\regsvc.dll
Folder::
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6329:TCP"=-
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt , прикрепите его к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
50
Вложения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
50
Вроде все в порядке! Спасибо!!!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
50
Все началось по-новой!!! Как защититься и как удалить?