Win32/Injector.AEI троян найден в оперативной памяти.
Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\restorer64_a.exe
Проверил DrWEB Cure.It, выполнил скрипты, даю логи.
Проверьте пожалуйста
Win32/Injector.AEI троян найден в оперативной памяти.
Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\restorer64_a.exe
Проверил DrWEB Cure.It, выполнил скрипты, даю логи.
Проверьте пожалуйста
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('28ABC5C0-4FCB-11CF-AAX5-21CX1C987892'); QuarantineFile('c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe',''); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}'); QuarantineFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\zavupd32.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\restorer64_a.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\svcst.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\seres.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\cpcp.cpo',''); DeleteFile('C:\WINDOWS\system32\cpcp.cpo'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\seres.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\svcst.exe'); DeleteFile('C:\Documents and Settings\Администратор\restorer64_a.exe'); DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('c:\Recycle\X-5-4-27-2345678318-4567890223-4234567884-2341\RisinG.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
При перезагрузке системы появляется окно "не найден модуль cpcp.cpo"
Сделал новые логи
Пофиксить в HiJack
Выполните скрипт в AVZКод:O20 - AppInit_DLLs: C:\WINDOWS\system32\syst0.dll O20 - Winlogon Notify: subsys - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\syst0.dll',''); DelCLSID('{6B830884-20E3-4AB6-B672-2629F0F72071}'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll',''); QuarantineFile('C:\WINDOWS\system32\restorer64_a.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\zavupd32.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\zavupd32.exe'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); DeleteFile('C:\WINDOWS\system32\restorer64_a.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\CMedia\CMedia.dll'); DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\CMedia', '*.*', true); DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\CMedia'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(16); RebootWindows(true); end.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\главное меню\программы\автозагрузка\zavupd32.exe - Trojan-Dropper.Win32.HDrop.b ( DrWEB: Trojan.Botnetlog.11 )
- c:\windows\system32\cpcp.cpo - Backdoor.Win32.Bredavi.aoq ( DrWEB: BackDoor.Siggen.1541, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Назар, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.