Решена Kido

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
 

akok

Команда форума
Администратор
Сообщения
16,925
Реакции
13,226
Баллы
2,203
Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
Извиняюсь за задержку логов, комп не мой.
 

ТроПа

Активный пользователь
Сообщения
391
Реакции
334
Баллы
483
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
C:\WINDOWS\system32\wvewsxg.dll
NetSvc:: 
swczy
hjfcgiwr
Driver::
hjfcgiwr
kxqwezzd
swczy
hjfcgiwr
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8054:TCP"=-
FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
Смущает вот эта ветка в реестре:
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments.
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll
Неужели ее не надо удалить?
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
16,925
Реакции
13,226
Баллы
2,203
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}]

RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
Можно ли снести их вручную, не запуская комбофикс?
 

akok

Команда форума
Администратор
Сообщения
16,925
Реакции
13,226
Баллы
2,203
Winston, можно.
 

akok

Команда форума
Администратор
Сообщения
16,925
Реакции
13,226
Баллы
2,203
И не забудте точки восстановления очистить после лечения.
 
Сверху Снизу