-
Junior Member
- Вес репутации
- 59
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bfwl.pgo','');
DeleteFile('C:\WINDOWS\system32\bfwl.pgo');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пока запускайте учетку, где делали логи.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=65390).
Включите в проводнике показ скрытых и системных файлов и папок,
откройте профиль того пользователя, где был баннер:
C:\Documents and Settings\имя_пользователя\
и в нем:
1. Очистите полностью папки Temp и Temporary Internet Files.
2. Проверьте в папке Application Data (но не в ее подпапках!) наличие исполняемых файлов.
Если найдутся - переместите их куда-нибудь в отдельную папку.
Перезагрузите компьютер и войдите в учетку, где был баннер.
Попробуйте сделать логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Bratez
Спасибо за отклик!
Карантин с тремя файлами выслал,
временные файлы зачистил, в папке Application data подозрительных исполняемых файлов нет.
Зашел под зараженной учетной записью - вывалились ошибки, что не удается запустить файл lwjk.bat. Почистил в реестре информацию об этом файле, больше ошибки не появляются, зловредный баннер исчез, process explorer стал запускаться.
Остались проблемы:
слетели иконки к ms office, не отображается иконка корзины, пункт запуска диспетчера задач неактивен, через Пуск->Выполнить не запускается редактор реестра ("редактирование реестра запрещено администратором системы").
Под другой учетной записью все работает (кроме иконок офиса).
Логи из-под зараженной учетной записи прикладываю.
-
Вот это блокировали сами?
>> Заблокирована закладка Заставка в окне свойств экрана
>> Internet Explorer - заблокирована настройка домашней страницы
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\stolarovaea\restorer64_a.exe','');
QuarantineFile('C:\Documents and Settings\stolarovaea\Application Data\svcst.exe','');
QuarantineFile('C:\Documents and Settings\stolarovaea\Application Data\seres.exe','');
DeleteFile('C:\Documents and Settings\stolarovaea\Application Data\seres.exe');
DeleteFile('C:\Documents and Settings\stolarovaea\Application Data\svcst.exe');
DeleteFile('C:\Documents and Settings\stolarovaea\restorer64_a.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','restorer64_a');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mserv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(11);
ExecuteREpair(17);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
thyrex
Вот это блокировали сами?
Да, так и должно быть.
Сейчас все нормально, все кроме иконок работает.
Тему можно закрывать, Спасибо!
На всякий случай пркрепляю логи и карантин(по указанным путям не было файлов).
-
I am not young enough to know everything...
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\bfwl.pgo - Trojan.Win32.Agent.deym
-