С недавнего времени стало появляться предупреждение "Обработчика команд Windows". Что-то пытается отключить UAC:
C:\Windows\System32\cmd.exe /c reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Po licies\System" /v EnableLUA /t REG_DWORD /d 0 /f
Стоит нажать НЕТ в Обработчике команд Windows как этот запрос появляется снова через несколько секунд.
Далее я посмотрел автозагрузку через msconfig и отключил загрузку файла с непонятным именем (C:\Users\CD86~1\AppData\Local\Temp\KhXVnMAjxminUB cAIi.exe). При этом вышеуказанный файл снести не получилось. После перезагрузки в той-же папке появился новый файл (C:\Users\CD86~1\AppData\Local\Temp\IbEKSZzbGqkQkN .exe). Старый все еще валяется там.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Black_moon, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Этот зловред донимал меня весь день. Я посмотрел с помощью ProcessMonitor список всех процессов и оказалось, что у меня два эксплорера: explorer.EXE и explorer.exe. Причем от имени первого запускались стандартные приложения, а от имени второго - производился запрос на отключение UAC. Поэтому я просто убил второй процесс explorer.exe. И симптомы заражения исчезли.
Затем стал делать новые логи.
Кстати, на мой взгляд карантин оказался пустым. Но я успел сделать копию зловреда.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\William Hill Poker (PUP.Casino) -> Действие не было предпринято.
HKCU\SOFTWARE\WINXGZ (Trojan.Agent) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры:
Ц{њcЙbwJкjUhOьШ+ДV¬б\ІоzC}Є€
Я^НChЌ<4ћиДPbY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґOґЃHк“/kT¦№)щIюdЛdЉH•гwbY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґOєЙПjс2ї‘ѓKCmючѓbY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґObY#”.ЂґO¤5 ЎO1
-> Действие не было предпринято.
HKCU\Software\winxgz|exerunner (Trojan.Agent) -> Параметры: was -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
C:\Users\Алексей\AppData\Local\Temp\9plbrbl3.exe (Trojan.Vundo.Gen) -> Действие не было предпринято.
C:\Users\Алексей\AppData\Local\Temp\755jah6m.exe (Trojan.Vundo) -> Действие не было предпринято.
C:\Users\Алексей\AppData\Roaming\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: