Здравствуйте уважаемые участники форума!
Проблема в следующем - самопроизвольно создаются и пропадают папки в корне диска С. Имена папок примерно такие: JqDDFMsYhC2CXnQ (скопировано в момент одного из появлений). В папке лежал файл wndsksi.inf. Сканирование антивирусами результатов не принесло. Прошу Вас помочь решить проблему. Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) strel12345, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Stoleshnitca\Главное меню\Программы\Автозагрузка\23UbHt0VGT8.exe','');
DeleteFile('C:\Documents and Settings\Stoleshnitca\Главное меню\Программы\Автозагрузка\23UbHt0VGT8.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(10);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
C:\Program Files\Offline Explorer Enterprise\Patch.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\PGI\win32\pgi-vf32-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
C:\Program Files\Microsoft Visual Studio 10.0\pgi-vs-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\WPA_Kill.exe (Hacktool.Wpakill) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8-Lz0\Lz0\pvf-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8-Lz0\Lz0\pvf-vs-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8.with.VS2010.Shell-Lz0\Lz0\pgi-vf32-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8.with.VS2010.Shell-Lz0\Lz0\pgi-vs-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8.X64-Lz0\Lz0\pgi-vf32-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8.X64-Lz0\Lz0\pgi-vf64-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\PGI Visual Fortran 10.8\PGI.Visual.Fortran.2010.v10.8.X64-Lz0\Lz0\pgi-vs-patch.exe (Riskware.Tool.CK) -> Действие не было предпринято.
F:\Программы\The Bat\the_bat3.x.x.exe (Trojan.Agent.CK) -> Действие не было предпринято.
F:\Программы\YU2008_PRO_v6.1.1231\Keygen\Keygen.exe (Trojan.Dropper.PGen) -> Действие не было предпринято.
Удалено.
Папка перестала появляться. Как проверить, всё ли в порядке?
Вот ещё что. MBAM постоянно выдаёт предупреждение: "Была предотвращена попытка доступа к вредоносному веб-сайту". Далее идет адрес сайта (типа 89.28.21.130). Что это может быть?
procedure FixUpdate;
var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
end;
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Stoleshnitca^Главное меню^Программы^Автозагрузка^23UbHt0VGT8.exe');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Stoleshnitca^Главное меню^Программы^Автозагрузка^Adobe Updater.lnk');
regkeydel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\^gsview32.ini');
regkeyparamdel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\svchost.exe');
regkeyparamdel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Temp\0.2108164874568591.exe');
FixUpdate;
RebootWindows(true);
end.
Компьютер перезагрузится
Папку C:\Documents and Settings\Stoleshnitca\Application Data\MicroST удалите вручную.
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\WINDOWS\system32\wuauclt.exe');
executeRepair(10);
end.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: