Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём некорректно. Вам необходимо обновить браузер или попробовать использовать другой.
Добрый день. Надеюсь на вашу помощь.
На съемных носителях создается Autorun.inf и папка Recycled. Антивирус стоит Trend Micro. Через некоторые промежутки времени (несколько часов) он определяет следующее:
WORM_DOWNAD.AD from C:\Windows\system32\x.
CureIt ничего не определил.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\hijmq.dll');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix - Руководство по применению
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
Загрузите GMER по одной из указанных ссылок Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
После проверки Комбофиксом и перезагрузки, винда потеряла регистрацию. Загрузился в безопасном режиме, лог сформировался в нем же.
При проверке Гмером после того как убираю указанные галки (Sections,
IAT/EAT, Show all) и запускаю скан, почти сразу выдает ошибку "приложение будет закрыто". Удалось просканировать с активной галкой "show all". gmer.exe даже и переименовывал - не помогло )))
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???
GUI Command for KidoKiller.zip, Утилита EConfickerRemover.exe от Eset - ничего не нашли. Вот логи комбофикса и гмера.
Прочитал описание кидо, процессы с рандом именем у меня не создаются, досту к антивирусным сайтам есть, антивирусник выдает совсем другое сообщение. Может это не кидо ???
Признаки на лицо, но я так и не видел карантина. Антивирус оперативно удаляет создаваемые файлы, вот и не может зловред полностью развернуть функционал.
Заплатки ставили?
Acrobat 7.0 - так и не обновили. Это большая брешь в защите системы.
Ваш антивирус не давал полностью развернутся вредоносу.
Ладно.. мы гоняем ветер.
Отключите все сетевые шары, отключите доступ к сетевым принтерам, поменяйте пароль на учетную запись администратора, включите встроенный фаерволл и уберите в настройках все исключения.
Надеюсь заплатки были установлены.
И CF найсточиво говорит о бутките.
Проведите лечение согласно этих рекомендаций http://www2.gmer.net/mbr/
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.