combofix
Printable View
combofix
Еще РСИТ сделайте.
rsit
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.
[code]
KillAll::
File::
C:\Users\Serega\AppData\Roaming\netprotocol.exe
C:\Program Files\svchost.exe
C:\Users\Serega\AppData\Roaming\Microsoft\taskhost.exe
C:\Windows\system32\machineupdate32.exe
C:\Users\Serega\AppData\Roaming\Gyet\payw.exe
Driver::
NetSvc::
Folder::
C:\Users\Serega\AppData\Roaming\Gyet
Registry::
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Netprotocol]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskhost]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Debugger 32]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{35581B04-5A61-7B86-245A-26E1A781DCB5}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Windows\SysWOW64\explorer.exe"=-
FileLook::
DirLook::
Reboot::
[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://safezone.cc/images/cfscript.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
Повторите логи РСИТ и МБАМ
логи...
Это выполнили?
[quote="Techno;980845"]Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.[/quote]
Кроме исчезновения файла hosts какие-нибудь проблемы еще есть?
да, выполнил
кроме hostsa проблем вроде больше нет!
Нужно удалить из реестра:
[CODE][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Netprotocol]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskhost]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Debugger 32]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{35581B04-5A61-7B86-245A-26E1A781DCB5}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\C:\Windows\SysWOW64\explorer.exe]
[/CODE]
cделал.
не помогло.
так же hosts удаляется...
добрый день!
со мной все?
вариантов больше нет?
Пробуйте из автозагрузки постепенно программы убирать. Всего скорее какая-то из них. NOD попробуйте отключить из автозапуска.
+ проверьте в меню антивируса - Служебные программы - Планировщик - нет ли там задания на "Запуск внешнего приложения" ?
@NOD попробуйте отключить из автозапуска.@
не убирался, при перезагрузте, опять запускался.
в итоге удалил нод!
при перезагрузке host не удалился.
поставил 6ю версию нода. тоже все ок. hosts на месте.:O
что это было?
[quote="serega74;982156"]что это было?[/quote]
Ответил в ЛС.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\users\\serega\\appdata\\roaming\\651749\\651749.exe - [B]Trojan-Downloader.Win32.Agent.xwht[/B] ( DrWEB: BackDoor.Tishop.25, BitDefender: Trojan.Generic.8738146, AVAST4: Win32:MalPack-F [Trj] )[*] c:\\windows\\system32\\config\\svchost.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.jh[/B] ( DrWEB: Program.RemoteAdmin.75, BitDefender: Trojan.Generic.5995439 )[/LIST][/LIST]