Цитата Pili:
|
Предварительно отключите автозапуск со съемных носителей, включите брандмауэр windows и уберите в исключениях брандмауэра общий доступ к файлам и принтерам. »
|
Сделали?
Цитата Pili:
|
Рекомендую дополнительно почитать здесь. »
|
Рекомендации описанные
здесь выполняли? Утилиту wwdc использовали? Также там есть ссылки на заплатки и другие утилиты.
По видимому рекомендации были проигнорированы, т.к.
Код:
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
И OtmoveIt удалил вредоносную службу, но вы снова заразились, если бы выполнили рекомендации, то зловред был бы удален ещё скриптом из поста 8
Пока вы не выполните рекомендации по защите, лечение бесполезно (компьютер будет заражаться из сети снова)
Деинсталлируйте или Dr.Web или avast и оставьте один антивирус, в Spybot S&D отключите teatimer или также временно деинсталлируйте Spybot S&D
Запустите GMER, нажмите справа от вкладки
Rootkit/Malware клавишу
>>>, выберите вкладку
Files. Появится аналог проводника. Найдите файл
Код:
C:\WINDOWS\system32\jwsros.dll
Нажмите
Copy и скопируйте файл в отдельную папку, например C:\virus, далее нажмите
Deletе для удаления файла и подтвердите удаление.
Нажмите справа от вкладки Rootkit/Malware клавишу >>>, Выберите вкладку Sevices найдите
Код:
dwicks
пр.кн.мыши - delete или, если будет недоступно, выберите disable и после перезагрузки запустите gmer и выберите - delete
Файл SysUtils.exe поищите на диске, можно с помощью AVZ или FAR, проверьте на virustotal.com, если зловред - перенесите в др. папку и запакуйте.
Скопируйте текст ниже
в блокнот и сохраните как файл с названием
CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
C:\WINDOWS\system32\jwsros.dll
c:\windows\sуstem32\x
Driver::
dwicks
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5298:TCP"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f2a43eb-f3c0-11dc-bae5-00016cba8a71}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b23ab61e-6410-11dc-ba1f-00016cba8a71}]
[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dwicks]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\dwicks]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из
C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл
C:\ComboFix.txt и прикрепите к сообщению.
Повторите лог gmer и DDS, а также скачайте GetSystemInfo (GSI)
здесь или
здесь, запустите, укажите с помощью обзора папку для сохранения протокола, полученный файл протокола в архиве прикрепите к сообщению.
