-
Junior Member
- Вес репутации
- 49
Перезагружается рабочий стол при наведении курсора мыши на папки с названиями AVZ, HijackThis и т.д.
Добрый день!
Заразился зловредом. В безопасном режиме CureIt нашёл 4 инфицированных объекта и благополучно их удалил/поместил в карантин. После перезагрузки, обнаружилось странное поведение рабочего стола - при попытке навести курсор на папки с названиями AVZ, HijackThis и т.д. он перезагружается.
Также удалось установить, что программы AVZ, HijackThis, AVPTool запускаются только при отключённом explorer.exe (Даже в безопасном режиме). При запуске explorer.exe программы "вылетают". Опытным путём) удалось выяснить, что только AVPTool остаётся "жить" даже при повторно запущенном explorer.exe. Более того, если при запущенной AVPTool запустить AVZ и HijackThis, а потом запустить explorer, то и они продолжают свою работу.
Также нашлась странная папка в Documents and Settings\Admin\Application Data\. Ее название - 3426CFECa в ней еще одна папка keys. Обе папки пустые, но не удаляются. При принудительном удалении через командную строку, появляется снова после перезагрузки.
Программой Process Explorer удалось выяснить, что процесс explorer.exe обращается к этой папке.
После сканирования HijachThis-ом в логе увидел незнакомый процесс - jiloged.exe, который прописан в реестре вместе с userinit.exe. По моему это и есть зловред!!! Там же в реестре похоже он создает строковый параметр 3426cab6 со значением C:\WINDOWS\system32\jiloged.exe.
Просьба помочь в этом нелегком, но интересном сражении с невидимым врагом
П.С. Лецинзионный Доктор Веб проявил себя не с лучшей стороны, не оказав абсолютно никакой поддержки в Такой важный момент. На будущее хотелось бы попросить очень нужного совета - как можно по максимуму обеспечить сохранность территории семейства Windows XP и какие профилактические работы, если таковые имеются, можно для этого проводить ?
Заранее Огромное спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
QuarantineFile('C:\WINDOWS\system32\jiloged.exe','');
DeleteFile('C:\WINDOWS\system32\jiloged.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 49
Огромное спасибо!
Скрипт выполнил, логи повторяю.
Единственное прошу прощения, но я удалил jiloged.exe до Вашего ответа... Поэтому в карантине только два .ini файла (наверное они и говорят о том, что файла уже нет). Если нужно, из карантина доктора веба смогу прислать два очень похожих exe-файла, которые он смог обнаружить. Они точно связаны с удаленным файлом.
Компьютер ведет себя замечательно, замеченных ранее сбоев нет. В реестре чистенько.
-
Карантин DrWeb удалите. В остальном порядок
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Большое спасибо!
Рекомендации по уходу за "Окнами" нашёл, в более чем развернутой форме, поэтому вопросов больше нет! Можно закрываться!
-
Как сказал бы thyrex - смените все пароли
Это не шутка, пароли надо менять.
-
-
Junior Member
- Вес репутации
- 49
Это я сразу понял, так как еще нашел файл в котором был список сайтов и список паролей и явок к каждому)))
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-