Решена Kido

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
481
Это логи с компа № 3. AVZ нашел кидо, похоже пофиксил, так как авторан.инф на флэшке не создается. На всякий случай проверьте логи пожалуйста.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,284
Реакции
13,843
Баллы
2,293
Winston, система заражена Net-Worm.Win32.Kido.ih . Готовьте лог Combofix + лог Gmer.
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
481
Извиняюсь за задержку логов, комп не мой.
 

ТроПа

Ветеран
Сообщения
389
Реакции
333
Баллы
573
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
C:\WINDOWS\system32\wvewsxg.dll
NetSvc:: 
swczy
hjfcgiwr
Driver::
hjfcgiwr
kxqwezzd
swczy
hjfcgiwr
Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8054:TCP"=-
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif


Когда сохранится новый отчет ComboFix, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
481
Смущает вот эта ветка в реестре:
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@DisplayName Driver Installer
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Type 32
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Start 2
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr@Description Allows error reporting for services and applictions running in non-standard environments.
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\hjfcgiwr\Parameters@ServiceDll
Неужели ее не надо удалить?
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,284
Реакции
13,843
Баллы
2,293
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b068a3a4-6167-11dd-921b-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8f57187-984f-11de-9224-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d31d9732-8802-11de-9223-00300542d9e0}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e1e571c9-b7f9-11de-9226-00300542d9e0}]

RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hjfcgiwr]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
CFScript.gif

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"
Combofix-unninstal.JPG


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
481
Можно ли снести их вручную, не запуская комбофикс?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,284
Реакции
13,843
Баллы
2,293
Winston, можно.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,284
Реакции
13,843
Баллы
2,293
И не забудте точки восстановления очистить после лечения.
 
Сверху Снизу