-
Junior Member
- Вес репутации
- 57
TR/Crypt.ZPACK.Gen
Каждый день Авира (при каждой полной проверке) находит:
Файл 'C:\WINDOWS\system32\drivers\xpufiqoe.sys'
содержит вирус или вредоносную программу 'TR/Crypt.ZPACK.Gen' [trojan].
CureIt (в безопасном режиме ничего не нашел).
Система стала тормозить, процессы запускаються дольше, часто виснут.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по xpufiqoe и выберите "Turn Run Off". Перезагрузку подтвердите.
Лог работы OSAM запакуйте и прикрепите к своему сообщению
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\xpufiqoe.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\xpufiqoe.sys');
DeleteService('xpufiqoe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Инструкции выполнил.
Запакованный лог OSAM приложил.
Новые логи тоже.
Карантин выслал согласно Приложения 3. (Получили?)
-
Junior Member
- Вес репутации
- 57
Маленькое дополнение. После отключения xpufiqoe при каждой перезагрузке выскакивает ошибка типа: spoolsv.exe Инструкция по адресу ............. обратилась к памяти по адресу .............. Память не может быть read.
Такого до появления вируса не наблюдалось.
-
Поищите файл C:\WINDOWS\Web\printers\images\userinit.bat
Пофиксите в hiJack
Код:
F2 - REG:system.ini: UserInit=userinit.exe,C:\WINDOWS\Web\printers\images\userinit.bat
Ошибка пропала?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Пофиксил.
Ошибка пропала. Спасибо.
Удалось вирус вывести? Или может еще что-то осталось?
-
Сообщение от
thyrex
Поищите файл C:\WINDOWS\Web\printers\images\userinit.bat
Искали? Нашли?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Да такой файл в указанной папке присутствует.
-
Запакуйте его с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темы
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
C:\WINDOWS\web\printers\images\.vbs поищите и пришлите по ссылке
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Нашел, есть такой. Выслал.
Сразу извиняюсь за маленькое самовольство - я так же вложил в архив файл Autorun.inf который находится в этой же папке C:\WINDOWS\web\printers\images\
Мне все автораны подозрительны.
-
В последнем карантине Trojan.Win32.AutoRun.aak и Worm.VBS.Autorun.ja
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
не подскажете как избавится? просто удалить файл?
-
Да, удаляйте все три файла
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Удалил. Получается они и были источником?
Спасибо за помощь.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- \autorun.inf - Trojan.Win32.AutoRun.aak ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun.gen trojan, AVAST4: VBS:Malware-gen )
- \.vbs - Worm.VBS.Autorun.ja ( NOD32: BAT/Autorun.BB worm, AVAST4: VBS:Malware-gen )
-