[Dezolato]

Добрый вечер.

Вот запрашиваемый лог. Я взял на себя смелость убрать бяку вручную, основываясь на данных лога. Убить не получилось, вышло только заблокировать.

Прошелся по реестру, убрал все, что было указано в логе (имеется ввиду, относящееся к "uerje"), плюс еще то, что нашел через поиск.

В system32\config\systemprofile\Application Data\FwZXNUlsqMfCSFd папку удалять бессмысленно - появляется заново. Я тупо снял наследование прав и сделал полный запрет на файл нулевой длины с именем wndsksi.inf

После этого перезагрузился и процесс svchost непонятного происхождения перестал появляться. Но стоит снять запрет редактирования или удалить файл wndsksi.inf, как после ребута эта гадость опять всплывает в процессах и гадит в корне диска C:

Далее: C:\WINDOWS\system32\girqsg.dll - такого файла нет вообще. Смотрел несколько раз. Скрытые / системные отображаются.


Итак, сейчас файл в system32\config\systemprofile\... заблокирован на изменение и вирусня не работает, по крайней мере так, как ей хотелось бы. Однако папка FwZXNUlsqMfCSFd все равно появляется в корне диска C:, хотя и пустая. В общем, я что-то не учел. Возможно, инфицированы системные файлы, например, Explorer.

Беглый просмотр измененных файлов ничего не дал. В system32 свежих файлов только два, и те нормальные.