И снова фишинговые ссылки...

Добрый вечер! В последнее время частенько KIS блокирует процессы svchost.exe и services.exe, которые пытаются открыть различные фишинговые ссылки! + на днях появились подозрительные файлы в папке system32 (a6f4a644.exe, cgdilh.exe, fbb556cb.exe) которым KIS присваивает индекс опасности 100! Со вчерашнего дня в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes появилась куча маршрутов, блокирующих антивирусное ПО и сайты! Помогите пожалуйста избавится от их дряней в системе! И дайте пожалуйста совет, как обезопасить компьютер! Логи прикрепляю! Спасибо!

Буквально час назад нашел в корне C:\Program Files\Common Files файл без расширения, открыв его увидел логи моего ПК, то что запускал или набирал на клавиатуре! ПОМОГИТЕ!

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\a6f4a644.exe','');
QuarantineFile('C:\WINDOWS\system32\fbb556cb.exe','');
QuarantineFile('C:\WINDOWS\system32\vvgoic.exe','');
DeleteFile('C:\WINDOWS\system32\vvgoic.exe');
DeleteFile('C:\WINDOWS\system32\fbb556cb.exe');
DeleteFile('C:\WINDOWS\system32\a6f4a644.exe');
BC_ImportAll;
ExecuteSysClean;
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

[B]Olejah[/B], файл карантина отправил, но вот ещё файл вируса C:\WINDOWS\system32\cgdilh.exe

В реестре, ниже строки Userinit есть ещё строка usrint, вот как раз в ней и путь к файлу cgdilh.exe

Походу это и есть кейлоггер, так как снова в C:\Program Files\Common Files появился файл jqyrg4inedzz13m с данными ввода текста на клавиатуре!

Может снова avz пройтись?

Не покажет он этого, сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL]

[QUOTE=Olejah;717930]Не покажет он этого, сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix[/URL][/QUOTE]
Держите, но в файле ни слова о том, о чем я писал выше!

И если можно скажите, почему ComboFix удалил WebMoney Advisor и другое?

[QUOTE='Dargo;717944']И если можно скажите, почему ComboFix удалил WebMoney Advisor и другое?[/QUOTE] Такой у него нрав, всё это можно восстановить из карантина, инструкция есть по ссылке выше, которую я давал.


Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.

[CODE]KillAll::

File::
c:\program files\Common Files\jqyrg4inedzz13m
c:\windows\system32\perfc019.dat
c:\windows\system32\perfh019.dat


Driver::

NetSvc::

Folder::


Registry::



FileLook::

DirLook::[/CODE]

После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].

[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Держите!

Все же C:\WINDOWS\system32\[B]cgdilh.exe[/B] ещё в системе, у него иконка и описание как у удаленных файлов по Вашей команде в AVZ...

Ещё вопрос! Судя по логам шпиона, он велся ещё с сентября, так почему же с тех пор KIS 2011 до сих пор их не определяет на вирусы?

Спасибо!

[QUOTE='Dargo;717965']Все же C:\WINDOWS\system32\cgdilh.exe ещё в системе, у него иконка и описание как у удаленных файлов по Вашей команде в AVZ...[/QUOTE] Снесите его вручную, так как в логах его нет, я бить на угад не могу.

- Сделайте новые логи АВЗ + лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL]

[QUOTE=Olejah;717967]Снесите его вручную, так как в логах его нет, я бить на угад не могу.

- Сделайте новые логи АВЗ + лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
Полное напряжно, это 1Тб информации! Может диска С хватит? :-)

П.С. Файл удалил! Скажите, а в ветке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" можно спокойно удалять "usrint" со строкой "C:\WINDOWS\system32\cgdilh.exe" или же это нужный параметр?!

[QUOTE='Dargo;717981']Может диска С хватит?[/QUOTE] Диска С хватит.


[QUOTE='Dargo;717981']можно спокойно удалять "usrint" со строкой "C:\WINDOWS\system32\cgdilh.exe" или же это нужный параметр?![/QUOTE] Такого параметра быть не должно - под топор его.

[B]Olejah[/B], держите!

Ничего подозрительного, что с проблемой?

[QUOTE=Olejah;718153]Ничего подозрительного, что с проблемой?[/QUOTE]
Вроде KIS больше не жалуется на фишинговые ссылки!

Но вот хотелось бы вернуть все как было до ComboFix, а то в некоторых программках настройки сбились! Например тот же TheBat! (даже регистрация сбилась!)

[size="1"][color="#666686"][B][I]Добавлено через 5 часов 40 минут[/I][/B][/color][/size]

Все ОК, большое спасибо за помощь! Думал пройдет и эта [URL="http://virusinfo.info/showthread.php?p=718327"]http://virusinfo.info/showthread.php?p=718327[/URL] проблема, но увы нет!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\vvgoic.exe - [B]Backdoor.Win32.Shiz.add[/B] ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.1502, NOD32: Win32/Spy.Shiz.NAL trojan, AVAST4: Win32:Spyware-gen [Spy] )[/LIST][/LIST]