-
Junior Member
- Вес репутации
- 52
Модифицирован ключ запуска проводника
Здравствуйте, с наступающим!
Сегодня словил блокиратор системы Trojan.Winlock.2741, мой NOD32 с последними базами даже пикнуть не успел. Со второго компьютера нашёл в сети ресурс dr.web'a, который выдал мне ключ разблокировки. Система ожила и я, естественно, решил удостовериться, всё ли в порядке. Просканировал нодом, а затем и AVZ. Нод ничего не обнаружил, а вот эвристики AVZ показала:
Нестандартный ключ Winlogon\Shell: "c\windows\explorer.exe"
а мастер поиска и устранения проблем вывел сабж.
Я конечно понимаю, что это, скорее всего, остаточный эффект после блокиратора, но мнение опытных специалистов будет не лишним.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
QuarantineFile('C:\WINDOWS\gdrv.sys','');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
-
-
А также
Пофиксите в HiJack
Код:
O20 - Winlogon Notify: Antiwpa - antiwpa.dll (file missing)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Профиксите в HijackThis
Код:
R3 - URLSearchHook: (no name) - - (no file)
O20 - Winlogon Notify: Antiwpa - antiwpa.dll (file missing)
- Сделайте повторный лог hijackthis.log
-
-
Junior Member
- Вес репутации
- 52
-
В логах подозрительного нет.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения вредоносные программы в карантинах не обнаружены
-