не обновляются базы данных AVZ, cure it,virusinfo.info тоже блокирует.
в папке Program Files\Common Files текстовый файл keylogger
на учетную запись администратора можно войти, только если перед в этим выполнить вход через обычную учетн запись
не обновляются базы данных AVZ, cure it,virusinfo.info тоже блокирует.
в папке Program Files\Common Files текстовый файл keylogger
на учетную запись администратора можно войти, только если перед в этим выполнить вход через обычную учетн запись
Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правиламКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\sorry.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\R2pZ16C.exe',''); QuarantineFile('\\?\globalroot\systemroot\system32\4PKUr6x.exe',''); QuarantineFile('C:\smss.exe',''); QuarantineFile('C:\WINDOWS\system32\servises.exe',''); QuarantineFile('C:\WINDOWS\system32\1.exe',''); DeleteFile('C:\WINDOWS\system32\1.exe'); DeleteFile('\\?\globalroot\systemroot\system32\4PKUr6x.exe'); DeleteFile('\\?\globalroot\systemroot\system32\R2pZ16C.exe'); DeleteFile('c:\windows\sorry.exe'); DeleteFile('C:\WINDOWS\system32\servises.exe'); DeleteFile('C:\smss.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servises'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','servises'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','act0'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','systme'); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteRepair(20); RebootWindows(true); end.
обновленный cure нашел trojan.packed.20325(6 шт)
сделала новые логи, надеюсь правильно
собственно логи, а архив карантина пришел?
Пришел
Пофиксите в HIJack
Выполните скрипт в AVZКод:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\sorry.exe,\\?\globalroot\systemroot\system32\9mtpzma.exe,\\?\globalroot\systemroot\system32\R2pZ16C.exe,\\?\globalroot\systemroot\system32\4PKUr6x.exe,
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\sorry.exe',''); DeleteFile('c:\windows\sorry.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделала новые логи
глупый вопрос- а где находится карантин лечащей утилиты касперского, и что с ним будет после ее деинстализации?
Дубль 2
Пофиксите в HIJack
Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\sorry.exe,\\?\globalroot\systemroot\system32\9mtpzma.exe,\\?\globalroot\systemroot\system32\R2pZ16C.exe,\\?\globalroot\systemroot\system32\4PKUr6x.exe,
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
в HIJack нет данной строчки
неоттуда загрузила лог HIJack, извените, вот правильные
Чисто
Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Большое спасибо!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- \\?\globalroot\systemroot\system32\r2pz16c.exe - Trojan.Win32.Scar.chou ( DrWEB: Trojan.DownLoad.64043 )
- \\?\globalroot\systemroot\system32\4pkur6x.exe - Trojan-Spy.Win32.Shiz.cd ( DrWEB: Trojan.Packed.20325, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) chibiann, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.