Отключение UAC.

[Black_moon]

С недавнего времени стало появляться предупреждение "Обработчика команд Windows". Что-то пытается отключить UAC:
C:\Windows\System32\cmd.exe /c reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Po licies\System" /v EnableLUA /t REG_DWORD /d 0 /f

Стоит нажать НЕТ в Обработчике команд Windows как этот запрос появляется снова через несколько секунд.
Далее я посмотрел автозагрузку через msconfig и отключил загрузку файла с непонятным именем (C:\Users\CD86~1\AppData\Local\Temp\KhXVnMAjxminUB cAIi.exe). При этом вышеуказанный файл снести не получилось. После перезагрузки в той-же папке появился новый файл (C:\Users\CD86~1\AppData\Local\Temp\IbEKSZzbGqkQkN .exe). Старый все еще валяется там.

[Info_bot]

Уважаемый(ая) Black_moon, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

- Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz

- Выполните в АВЗ:

Код:

begin
 QuarantineFile('C:\Users\CD86~1\AppData\Local\Temp\IbEKSZzbGqkQkN.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NwNantmaPKTqhJbzJAVaqriEYb');
 DeleteFile('C:\Users\CD86~1\AppData\Local\Temp\IbEKSZzbGqkQkN.exe');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

- Сделайте лог полного сканирования MBAM.

[Black_moon]

Этот зловред донимал меня весь день. Я посмотрел с помощью ProcessMonitor список всех процессов и оказалось, что у меня два эксплорера: explorer.EXE и explorer.exe. Причем от имени первого запускались стандартные приложения, а от имени второго - производился запрос на отключение UAC. Поэтому я просто убил второй процесс explorer.exe. И симптомы заражения исчезли.
Затем стал делать новые логи.
Кстати, на мой взгляд карантин оказался пустым. Но я успел сделать копию зловреда.

[Techno]

- Удалите в MBAM:

Код:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\William Hill Poker (PUP.Casino) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: 
Ц{њcЙ˜bwJкjUhOьШ+ДV¬б\ІоzC}Є€
Я^НChЌ<4ћиДPbY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґOґЃHк“/kT¦№)щIюdЛdЉH•гwbY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґOєЙПjс2ї‘ѓKCmючѓbY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґO¤5	ЎO1
 -> Действие не было предпринято.
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.

C:\Users\Алексей\AppData\Local\Temp\9plbrbl3.exe (Trojan.Vundo.Gen) -> Действие не было предпринято.
C:\Users\Алексей\AppData\Local\Temp\755jah6m.exe (Trojan.Vundo) -> Действие не было предпринято.

C:\Users\Алексей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

Что с проблемой?

[Black_moon]

Ппроблема решена, большое спасибо.