Есть подозрение на Trojan.Win32.Genome.wjsd

[Green_simbir]

День добрый (хотя какой уж он добрый...)

 

Вчера на компютер посадили трояна.

 

Внешние проявления: прописались в барах 2 из 4 браузеров трока mail.ru agent, всячески переключает поиск на поиск через mail.ru

Запрещает доступ на некоторые страницы сообщая "Соединение закрыто удалённым сервером".

Либо же "корежит" кодировку страниц. Причём происходит это без видимой системы.

 

Касперский отловил Trojan.Win32.Genome.wjsd в архиве, а также Trojan.Java.Agent.aw в системных файлах и удалил.

Однако последствия остались.

 

Помогите разобраться.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[Roman_Five]

Green_simbir,

добро пожаловать на форум!

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('dxrwajahhx', 4);
QuarantineFile('J:\autorun.inf','');
QuarantineFile('C:\WINDOWS\winhp32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\hfgksoyqdg.sys','');
QuarantineFile('C:\WINDOWS\system32\qfadtsg.dll','');
DeleteFile('C:\WINDOWS\system32\qfadtsg.dll');
DeleteFile('C:\WINDOWS\system32\drivers\hfgksoyqdg.sys');
DeleteFile('C:\WINDOWS\winhp32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1');
DeleteService('dxrwajahhx');
DelAutorunByFileName('C:\WINDOWS\system32\qfadtsg.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

не забудьте про логи RSIT