Решена Kido

Winston

Пользователь
Сообщения
21
Реакции
0
Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,170
Реакции
14,142
Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
 

Winston

Пользователь
Сообщения
21
Реакции
0
Извиняюсь за задержку логов, комп не мой.
 

ТроПа

Активный пользователь
Сообщения
389
Реакции
334
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
C:\WINDOWS\system32\wvewsxg.dll
NetSvc:: 
swczy
hjfcgiwr
Driver::
hjfcgiwr
kxqwezzd
swczy
hjfcgiwr
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8054:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif


Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
 

Winston

Пользователь
Сообщения
21
Реакции
0
Смущает вот эта ветка в реестре:
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments.
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll
Неужели ее не надо удалить?
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,170
Реакции
14,142
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}]

RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Combofix-unninstal.JPG


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Winston

Пользователь
Сообщения
21
Реакции
0
Можно ли снести их вручную, не запуская комбофикс?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,170
Реакции
14,142
Winston, можно.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,170
Реакции
14,142
И не забудте точки восстановления очистить после лечения.
 
Сверху Снизу