Постоянно всплывает окно антивируса о заблокированном ресурсе

RSS
Добрый день. пользователь открыл exe файл скачанный из интернета. Теперь постоянно появляется окно антивируса Eset о блокировке сайта

21.07.2021 15:06:55 http://www.topcarinsurancepro.info/qa88?IpUDnb=oCQKFOnQwiVCk8WSf23sxx6wdVJgoFlWg6xNdgBAkz0jbTB1frU+k­... Заблокировано Внутренний черный список C:\Windows\explorer.exe ECONOMYST\user 172.67.192.177 E8F207634E304790B099454338B819D302024D7B
21.07.2021 15:06:55 http://www.topcarinsurancepro.info/qa88 Заблокировано Внутренний черный список C:\Windows\explorer.exe ECONOMYST\user 172.67.192.177 E8F207634E304790B099454338B819D302024D7B

не нахожу где прописалась эта зараза. Образ автозапуска прикрепляю. Помогите разобраться.

Ответы

Цитата
santy написал:
судя по свежему логу FRST
похоже пробивает систему, посмотрим что будет в новом образе
Цитата
(Telegram FZ-LLC) [Файл не подписан] C:\Program Files (x86)\Gghlhkzi\taskhostp8tpf.exe
HKU\S-1-5-21-72774180-1881986034-1001478685-1001\...\Run: [_FEXN8MXC] => C:\Program Files (x86)\Lszzphv\ehle4e.exe [963584 2021-07-21] (Telegram FZ-LLC) [Файл не подписан]
HKU\S-1-5-21-72774180-1881986034-1001478685-1001\...\Run: [SJOPJLHXCNY] => C:\Program Files (x86)\Gghlhkzi\taskhostp8tpf.exe [963584 2021-07-21] (Telegram FZ-LLC) [Файл не подписан]
удалил эти папки и подобные  
Цитата
santy написал:
актуальную версию uVS надо скачать,
https://chklst.ru/data/uVS%20latest/uvs_latest.zip

и выполнить в ней следующий скрипт:
Код
 ;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart 


система перезагрузится, затем сделать новый образ автозапуска
только сделайте образ актуальной версией uVS
вроде бы после выполнения скрипта и перезагрузки пока на сайт этот не ломилось больше  
да потоков нет сейчас
выполните в uVS скрипт без перезагрузки системы

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES (X86)\XRVKTQHT\RBCDWPG4N.EXE
apply
REGT 40
QUIT

понаблюдайте за системой, если детекты повторятся, добавьте новое сообщение в вашей теме
найденные файлы переданы в вирлаб, будут добавлены, как Win32/Formbook.AA
Спасибо за помощь!
C:\PROGRAM FILES (X86)\LSZZPHV\EHLE4E.EXE                : Win32/Formbook.AA
C:\PROGRAM FILES (X86)\VTJQX5TB\KZAPR21TFILJLW.EXE: Win32/Formbook.AA
C:\PROGRAM FILES (X86)\QUHBHZLKP\_PSDTJ8TPQT.EXE  : Win32/Formbook.AA
Читают тему (гостей: 1)