1. Компьютер заражен
2. Проявления точные:
- "обновился" explorer + какие-то "обновления" windows;
- изображение на экране стало мелькать;
- не получилось обновить AVZ;
- вместо экранной клавиатуры запустилась панель управления.
3. Проявления приблизительные (могут быть вызваны чем-то еще):
- с привычными сайтами, на которые приходилось ходить через IE, начались проблемы: то заходишь, то нет;
- примерно в это время пришло письмо с вложенным файлом Dannie_za 17_06.scr в RAR-овском архиве. Дрвеб этот файл называет Trojan.PWS.Turist.143, но не лечит последствия заражения. Нет 100% уверенности, что расписанное выше - последствия именно этого Trojan.PWS.Turist.143, хотя на 90% - его рук дело.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Antma, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\System32\MifofomlJLohdj.exe','');
DeleteFile('C:\Windows\System32\MifofomlJLohdj.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Меня смущают строчки из лога AVZ, их раньше не было:
Функция wininet.dll:InternetAlgIdToStringA (250) перехвачена, метод APICodeHijack.JmpTo[617F1041]
Функция wininet.dll:InternetAlgIdToStringW (251) перехвачена, метод APICodeHijack.JmpTo[617F1149]
И огромное кол-во замен, их тоже столько не было:
Маскировка процесса с PID=420, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 420)
Плюс ко всему:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Users\Maksim\AppData\Local\Temp\mcse32_00.dll --> Подозрение на Keylogger или троянскую DLL
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: