-
Junior Member
- Вес репутации
- 51
И снова фишинговые ссылки...
Добрый вечер! В последнее время частенько KIS блокирует процессы svchost.exe и services.exe, которые пытаются открыть различные фишинговые ссылки! + на днях появились подозрительные файлы в папке system32 (a6f4a644.exe, cgdilh.exe, fbb556cb.exe) которым KIS присваивает индекс опасности 100! Со вчерашнего дня в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\PersistentRoutes появилась куча маршрутов, блокирующих антивирусное ПО и сайты! Помогите пожалуйста избавится от их дряней в системе! И дайте пожалуйста совет, как обезопасить компьютер! Логи прикрепляю! Спасибо!
Буквально час назад нашел в корне C:\Program Files\Common Files файл без расширения, открыв его увидел логи моего ПК, то что запускал или набирал на клавиатуре! ПОМОГИТЕ!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\a6f4a644.exe','');
QuarantineFile('C:\WINDOWS\system32\fbb556cb.exe','');
QuarantineFile('C:\WINDOWS\system32\vvgoic.exe','');
DeleteFile('C:\WINDOWS\system32\vvgoic.exe');
DeleteFile('C:\WINDOWS\system32\fbb556cb.exe');
DeleteFile('C:\WINDOWS\system32\a6f4a644.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 51
Olejah, файл карантина отправил, но вот ещё файл вируса C:\WINDOWS\system32\cgdilh.exe
В реестре, ниже строки Userinit есть ещё строка usrint, вот как раз в ней и путь к файлу cgdilh.exe
Походу это и есть кейлоггер, так как снова в C:\Program Files\Common Files появился файл jqyrg4inedzz13m с данными ввода текста на клавиатуре!
Может снова avz пройтись?
-
Не покажет он этого, сделайте лог ComboFix
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Не покажет он этого, сделайте лог
ComboFix
Держите, но в файле ни слова о том, о чем я писал выше!
И если можно скажите, почему ComboFix удалил WebMoney Advisor и другое?
-
Сообщение от
Dargo
И если можно скажите, почему ComboFix удалил WebMoney Advisor и другое?
Такой у него нрав, всё это можно восстановить из карантина, инструкция есть по ссылке выше, которую я давал.
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::
File::
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\system32\perfc019.dat
c:\windows\system32\perfh019.dat
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
-
-
Junior Member
- Вес репутации
- 51
Держите!
Все же C:\WINDOWS\system32\cgdilh.exe ещё в системе, у него иконка и описание как у удаленных файлов по Вашей команде в AVZ...
Ещё вопрос! Судя по логам шпиона, он велся ещё с сентября, так почему же с тех пор KIS 2011 до сих пор их не определяет на вирусы?
Спасибо!
-
Сообщение от
Dargo
Все же C:\WINDOWS\system32\cgdilh.exe ещё в системе, у него иконка и описание как у удаленных файлов по Вашей команде в AVZ...
Снесите его вручную, так как в логах его нет, я бить на угад не могу.
- Сделайте новые логи АВЗ + лог полного сканирования МВАМ
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Снесите его вручную, так как в логах его нет, я бить на угад не могу.
- Сделайте новые логи АВЗ + лог
полного сканирования МВАМ
Полное напряжно, это 1Тб информации! Может диска С хватит? :-)
П.С. Файл удалил! Скажите, а в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" можно спокойно удалять "usrint" со строкой "C:\WINDOWS\system32\cgdilh.exe" или же это нужный параметр?!
-
Сообщение от
Dargo
Может диска С хватит?
Диска С хватит.
Сообщение от
Dargo
можно спокойно удалять "usrint" со строкой "C:\WINDOWS\system32\cgdilh.exe" или же это нужный параметр?!
Такого параметра быть не должно - под топор его.
-
-
Junior Member
- Вес репутации
- 51
-
Ничего подозрительного, что с проблемой?
-
-
Junior Member
- Вес репутации
- 51
Сообщение от
Olejah
Ничего подозрительного, что с проблемой?
Вроде KIS больше не жалуется на фишинговые ссылки!
Но вот хотелось бы вернуть все как было до ComboFix, а то в некоторых программках настройки сбились! Например тот же TheBat! (даже регистрация сбилась!)
Добавлено через 5 часов 40 минут
Все ОК, большое спасибо за помощь! Думал пройдет и эта http://virusinfo.info/showthread.php?p=718327 проблема, но увы нет!
Последний раз редактировалось Dargo; 09.10.2010 в 20:10.
Причина: Добавлено
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\vvgoic.exe - Backdoor.Win32.Shiz.add ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1502, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )
-