Искал в интернете конкурсы на 8 марта, в один прекрасный момент получил редирект на домен .cn, после чего началось веселье.
Аутпост заорал, что services.exe хочет загрузить какой-то драйвет и отправить почту на несколько адресов.
На диске появились:
C:\WINDOWS\services.exe 22529 байт
C:\WINDOWS\_id.dat (сейчас, после запуска скриптов AVZ, нулевого размера)
C:\WINDOWS\adobe.bat с содержанием
--- ---
Код:
:u1w5z
net stop beep
START /WAIT C:\WINDOWS\services.exe /do_work
ECHO %ERRORLEVEL%
IF %ERRORLEVEL% NEQ 3 GOTO u1w5z
EXIT
--- ---
Ссылки на C:\WINDOWS\services.exe появились в автозагрузочных ключах реестра (практически во всех возможных, их я отключил программой autoruns еще до лечения, т.к. сильно мешались - постоянно срабатывала защита Аутпоста).
Вроде бы все прозрачно, и достаточно удалить C:\WINDOWS\services.exe + почистить реестр, но может я что-то еще упустил?
Архивы с логами прилагаю.
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: